iptables 是 Linux 系统中用于配置内核防火墙的一个命令行工具。它允许系统管理员定义规则,这些规则决定了如何处理经过网络接口的数据包。iptables 规则可以应用于不同的“表”(tables)和“链”(chains)。以下是一些主要的表和链类型:
表(Tables)
- filter:这是默认表,用于控制数据包的访问控制。
- nat:用于网络地址转换(NAT),比如地址重写。
- mangle:用于特殊的数据包修改,比如更改TTL值。
- raw:用于配置免除连接跟踪的规则。
链(Chains)
每个表包含预定义的链,以及可以由管理员自定义的链。以下是每个表中的一些标准链:
filter 表
- INPUT:处理进入本机的数据包。
- FORWARD:处理经过本机转发的数据包。
- OUTPUT:处理从本机发出的数据包。
- PREROUTING:用于目标地址转换(DNAT)的规则,在路由决策之前应用。
- POSTROUTING:用于源地址转换(SNAT)的规则,在路由决策之后应用。
nat 表
- PREROUTING:用于目标地址转换(DNAT)的规则,在路由决策之前应用。
- POSTROUTING:用于源地址转换(SNAT)的规则,在路由决策之后应用。
- OUTPUT:处理从本机发出的数据包的NAT。
mangle 表
- PREROUTING:用于在路由决策之前修改数据包。
- INPUT:处理进入本机的数据包。
- FORWARD:处理经过本机转发的数据包。
- OUTPUT:处理从本机发出的数据包。
- POSTROUTING:用于在路由决策之后修改数据包。
raw 表
- PREROUTING:用于配置免除连接跟踪的规则。
- OUTPUT:用于配置免除连接跟踪的规则。
自定义链
除了上述标准链之外,管理员还可以创建自定义链,并在标准链中调用这些自定义链。自定义链可以帮助组织复杂的规则集,使其更易于管理和维护。
注意事项
- 在修改
iptables 规则之前,建议先备份当前的规则集,以便在出现问题时可以恢复。 - 修改
iptables 规则可能会影响系统的网络连接和安全性,因此在进行更改时要格外小心。 - 在某些 Linux 发行版中,可能需要使用
sudo 或 root 权限才能运行 iptables 命令。
总之,iptables 提供了灵活而强大的网络过滤和地址转换功能,但也需要谨慎使用以避免潜在的安全风险。
