1.查看当前iptables策略

iptables -t nat -L -n --line-numbers

指令详解

-t

filter：用于过滤数据包的表。这是 iptables 默认的表，用于配置防火墙规则iptables 默认的表

nat：用于网络地址转换 (NAT) 的表。在此表中，可以配置用于修改数据包地址或端口的规则，实现网络地址转换。

mangle：用于修改数据包头的表。在此表中，可以配置用于修改数据包头部信息的规则，如修改 TTL（Time To Live）值等。

raw：用于配置原始数据包处理的表。在此表中，可以配置规则来指定哪些数据包应该绕过连接跟踪系统。

常用命令以及基本规则介绍

---prerouting 路由规则之前的动作---dnat （目的地址转换）

---postrouting（路由规则之后的动作） ---snat（ 源地址转换）

a 查询路由规则命令

1.查看
iptables -t nat -L -n --line-numbers
2.删除
iptables -t nat -D POSTROUTING 1
3.常见保存命令文件
/etc/rc.loca
4.永久保存的方法
//ubuntu:
apt install iptables-persistent
配置规则
保存规则
iptables-save > /etc/iptables/rules.v4  
iptables-persistent 在启动时会自动加载保存的规则
//centos
iptables-save > /etc/sysconfig/iptables
[root@server-nginx2 openvpn]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Mon Feb 19 17:07:36 2024
*nat
:PREROUTING ACCEPT [241:27220]
:INPUT ACCEPT [12:690]
:OUTPUT ACCEPT [33:2171]
:POSTROUTING ACCEPT [33:2171]
-A POSTROUTING -s 111.10.0.0/16 -o eth0 -j SNAT --to-source 172.17.2.25
COMMIT
# Completed on Mon Feb 19 17:07:36 2024

filter策略的使用命令详解

配置 iptables 的过滤表（filter table）是实现网络安全的基础。以下是一些常见的 iptables 过滤表配置示例：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许传入的 SSH 连接（端口 22）。 -A INPUT 表示将规则附加到 INPUT 链， -p tcp 指定协议为 TCP， --dport 22 指定目标端口为 22， -j ACCEPT 表示接受匹配的连接
 iptables -A INPUT -s 192.168.1.100 -j ACCEPT
 #允许来自 IP 地址 192.168.1.100 的传入连接。
 iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 #允许已经建立的连接通过，通常用于允许对现有连接的回复。
 iptables -A INPUT -j DROP #拒绝所有未匹配到的传入连接
  iptables -A OUTPUT -j ACCEPT #允许系统上的所有传出连接。

nat类型策略的使用命令详解

iptables -t nat 命令用于操作 iptables 的 nat 表。nat 表主要用于配置网络地址转换 (NAT) 规则，允许你修改数据包的源或目标地址以及端口信息

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080
#将 PREROUTING 链中接口 eth0 上目标端口为 80 的 TCP 数据包转发到内部网络中的地址 192.168.1.100 的 8080 端口
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
将 POSTROUTING 链中出口接口 eth0 的数据包源地址转换为出口接口的地址，通常用于实现 NAT 网络共享功能
MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去
iptables -t nat -A OUTPUT -d 10.0.0.1 -j DNAT --to-destination 192.168.1.100
# 将 OUTPUT 链中目标地址为 10.0.0.1 的数据包的目标地址修改为 192.168.1.100。
 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 80
#将 PREROUTING 链中接口 eth0 上目标端口为 8080 的 TCP 数据包重定向到本地的端口 80。

mangle类型策略的使用命令详解

iptables -t mangle 命令用于操作 iptables 的 mangle 表。mangle 表用于修改数据包的头部信息，允许对数据包进行更底层的处理

iptables -t mangle -A PREROUTING -i eth0 -m ttl --ttl-lt 2 -j TTL --ttl-set 64
将 PREROUTING 链中进入接口 eth0 的 TTL 小于 2 的数据包的 TTL 设置为 64  ttl是路由的跳数（其TTL值会减1，当路由器收到一个TTL值为0的数据报时，路由器会将其丢弃，TTL字段的目的是就是为了防止1个IP数据报网络中循环的流动。）
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark 1
将 PREROUTING 链中源地址为 192.168.1.0/24 的数据包标记为标记值 1
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400
将 FORWARD 链中 SYN 标志被设置的 TCP 数据包的最大报文段长度（MSS）设置为 1400 字节。
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1
将 PREROUTING 链中进入接口 eth0 的所有数据包的 TTL 值增加 1

raw类型使用

iptables -t raw 命令用于操作 iptables 的 raw 表。raw 表是 iptables 中的一种特殊表，用于配置原始数据包的处理。通常，raw 表用于配置数据包的预处理，例如绕过连接跟踪机制或对数据包进行特定的处理

iptables -t raw -A PREROUTING -p tcp --sport 80 -j NOTRACK
#将 PREROUTING 链中源端口为 80 的 TCP 数据包绕过连接跟踪机制，即不进行连接跟踪。
 iptables -t raw -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark 1
将 PREROUTING 链中源地址为 192.168.1.0/24 的数据包标记为标记值 1
iptables -t raw -A PREROUTING -p icmp -j DROP
将 PREROUTING 链中所有 ICMP 数据包丢弃。