iptables -J動(dòng)作總結(jié)

1、iptables常見動(dòng)作

• ACCEPT
• DROP
• REJECT
• LOG
• SNAT
• DNAT
• MASQUERADE
• REDIRECT

2、iptables常見動(dòng)作用法

2-1、ACCEPT：

作用：用于接收匹配的流量，使得流量繼續(xù)往后面的規(guī)則和鏈路去匹配

2-2、DROP

作用：用于丟棄匹配的流量，使得流量不再往后面的規(guī)則和鏈路去匹配

2-3、REJECT

作用：用于拒絕匹配的流量，同時(shí)回復(fù)拒絕的原因，一般用于拒絕且需要設(shè)置提示信息的場景，當(dāng)對方被拒絕時(shí)，會(huì)提示對方為什么被拒絕。

REJECT動(dòng)作的常用選項(xiàng)為–reject-with：

• icmp-net-unreachable

• icmp-host-unreachable

• icmp-port-unreachable,

• icmp-proto-unreachable

• icmp-net-prohibited

• icmp-host-pro-hibited

• icmp-admin-prohibited

• tcp-reset

當(dāng)不設(shè)置任何值時(shí)，默認(rèn)值為icmp-port-unreachable。

2-4、LOG

作用：可以將符合條件的報(bào)文的相關(guān)信息記錄到日志中，但當(dāng)前報(bào)文具體是被”接受”，還是被”拒絕”，都由后面的規(guī)則控制。LOG動(dòng)作只負(fù)責(zé)記錄匹配到的報(bào)文的相關(guān)信息，不負(fù)責(zé)對報(bào)文的其他處理，如果想要對報(bào)文進(jìn)行進(jìn)一步的處理，可以在之后設(shè)置具體規(guī)則，進(jìn)行進(jìn)一步的處理。

查看iptables LOG日志：

LOG動(dòng)作會(huì)將報(bào)文的相關(guān)信息記錄在/var/log/message文件中，當(dāng)然，我們也可以將相關(guān)信息記錄在指定的文件中，以防止iptables的相關(guān)信息與其他日志信息相混淆，修改/etc/rsyslog.conf文件（或者/etc/syslog.conf），在rsyslog配置文件中添加如下配置即可：

#vim /etc/rsyslog.conf
kern.warning /var/log/iptables.log

加入上述配置后，報(bào)文的相關(guān)信息將會(huì)被記錄到/var/log/iptables.log文件中。
完成上述配置后，重啟rsyslog服務(wù)（或者syslogd）：service rsyslog restart

LOG動(dòng)作也有自己的選項(xiàng)，常用選項(xiàng)如下：

• –log-level選項(xiàng)可以指定記錄日志的日志級別，可用級別有：emerg，alert，crit，error，warning，notice，info，debug。

• –log-prefix選項(xiàng)可以給記錄到的相關(guān)信息添加”標(biāo)簽”之類的信息，以便區(qū)分各種記錄到的報(bào)文信息，方便在分析時(shí)進(jìn)行過濾。

2-5、SNAT

作用：網(wǎng)絡(luò)內(nèi)部的主機(jī)可以借助SNAT隱藏自己的IP地址，同時(shí)還能夠共享合法的公網(wǎng)IP，讓局域網(wǎng)內(nèi)的多臺(tái)主機(jī)共享公網(wǎng)IP訪問互聯(lián)網(wǎng)。

2-6、DNAT

作用：只有一個(gè)公網(wǎng)IP，但內(nèi)網(wǎng)中卻有很多服務(wù)器提供各種服務(wù)，我們想要通過公網(wǎng)訪問這些服務(wù)使用DNAT即可。利用DNAT，將客戶端發(fā)送過來的報(bào)文的目標(biāo)地址與端口號做了映射，將訪問服務(wù)的報(bào)文轉(zhuǎn)發(fā)到了內(nèi)網(wǎng)中特定服務(wù)

2-7、MASQUERADE

作用：SNAT，也就是源地址轉(zhuǎn)換。當(dāng)我們對外每次分配的IP地址往往不同，不會(huì)長期分給我們一個(gè)固定的IP地址，如果這時(shí)，想要讓內(nèi)網(wǎng)主機(jī)共享公網(wǎng)IP，就會(huì)很麻煩，因?yàn)槊看蜪P地址發(fā)生變化以后，我們都要重新配置SNAT規(guī)則。通過MASQUERADE即可解決這個(gè)問題，MASQUERADE會(huì)動(dòng)態(tài)的將源地址轉(zhuǎn)換為可用的IP地址，其實(shí)與SNAT實(shí)現(xiàn)的功能完全一致，都是修改源地址，只不過SNAT需要指明將報(bào)文的源地址改為哪個(gè)IP，而MASQUERADE則不用指定明確的IP，會(huì)動(dòng)態(tài)的將報(bào)文的源地址修改為指定網(wǎng)卡上可用的IP地址?？梢园袽ASQUERADE理解為動(dòng)態(tài)的、自動(dòng)化的SNAT，如果沒有動(dòng)態(tài)SNAT的需求，沒有必要使用MASQUERADE，因?yàn)镾NAT更加高效。

2-8、REDIRECT

作用：使用REDIRECT動(dòng)作可以在本機(jī)上進(jìn)行端口映射

比如，將本機(jī)的80端口映射到本機(jī)的8080端口上

iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 8080

3、注意點(diǎn)

• 如果想要NAT功能能夠正常使用，需要開啟Linux主機(jī)的核心轉(zhuǎn)發(fā)功能：

  echo 1 > /proc/sys/net/ipv4/ip_forward