Ubuntu中iptables的使用

（一）设置开机启动iptables
# sysv-rc-conf --level 2345 iptables on

（二） iptables的基本命令

1. 列出当前iptables的策略和规则
# iptables -L -n
-n：用数字形式显示
# iptables -L -v
-v：打印详细的信息
2. 允许已经建立的连接接收数据
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
3. 开放端口22（SSH的默认端口），您要告诉iptables允许接受到的所有目标端口为22的TCP报文通过
iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
注：ssh代表22，可以在/etc/services中查到的服务都可以这样使用。
4. 添加策略。策略也是一种规则，当所有规则都不匹配时，使用链的“策略”
链：INPUT, PREROUTING, FORWARD, POSTROUTING, OUTPUT
链策略的默认值是：ACCEPT。
表：filter （默认），nat，mangle。
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP
----------------------------------------------------
root@patrick:~# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     icmp -- 0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:22
Chain FORWARD (policy DROP)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp -- 0.0.0.0/0            0.0.0.0/0           tcp spt:22
----------------------------------------------------
5. 启动包转发功能
将内网的FTP请求转发到外网的一个主机上。
iptables -t nat -A PREROUTING -p tcp -dport 21 -j DNAT --to-dest 10.25.1.7:21
查看：
# iptables -L -t nat
要实现包转发，还需要编辑内核参数。
# cat /proc/sys/net/ipv4/ip_forward
0
默认包转发是禁止的。于是需要打开。编辑/etc/sysctl.conf，然后执行sysctl -p。
（三）保存iptables的规则
step 1）保存当前iptables的规则到文件中。
# iptables-save > /etc/iptables.up.rules
step 2）开机恢复iptables的规则。方法是添加下面这行到文件‘/etc/network/interfaces/’ 的末尾。
pre-up iptables-restore < /etc/iptables.up.rules
（四）禁用防火墙
iptables -F
似乎Ubuntu中没有类似service iptables stop这样的命令来暂停iptables。只能使用这种方法来禁用iptables（防火墙）。
使用前，请保证规则已经备份在文件中。

巴特西

Ubuntu中iptables的使用

最新文章

热门文章