linux中iptables防火墙相关命令

 POSTROUTING 用于别人访问你的内部服务器，例如：
A.你的服务器IP地址为：192.168.1.2；
B.你的防火墙（Linux & iptables）地址为192.168.1.1和202.96.129.5

的用户可以正常的访问202.96.129.5,但他们无法访问192.168.1.2，这时在Linux防火墙里可以做这样的设置：
iptables -t nat -A POSTROUTING -d 202.96.129.5 -j DNAT 192.168.1.2
这样别人就可以访问你的192.168.1.2

 

我们要记住PREROUTING是“路由规则”之前的动作，POSTROUTING是“路由规则”之后的动作！

 

——————————————————————————————————————————————

例子：

目的地址转换
iptables -t nat -A PREROUTING -i eth0 -s 192.16.0.0/24 -j DROP
来自于 eth0 这个网卡 IP地址段是 192.16.0.0/24 的转换全部 丢弃

 

 

iptables -t nat "-t nat"为选择nat表，iptables有四个表与五个链，
4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：raw>mangle>nat>filter。
filter：一般的过滤功能
nat:用于nat功能（端口映射，地址映射等）
mangle:用于对特定数据包的修改
raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能
-A 向PREROUTING末端添加一条规则
5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后，目的地不为本机
OUTPUT:由本机产生，向外转发
POSTROUTIONG:发送到网卡接口之前
-i -进入的（网络）接口
-s 指定源地址
-j 指定规则的目标
DROP 拒绝