【跟唐老师学习云网络】-第8篇 iptables

【摘要】前面的各种协议已经可以把基本可用的物理网络世界给形成了，在正常情况下，它可以玩的很溜。比如组个局域网办公，或者打个联机魔兽争霸，都没有什么问题。

一、背景介绍

前面的各种协议已经可以把基本可用的物理网络世界给形成了，在正常情况下，它可以玩的很溜。比如组个局域网办公，或者打个联机魔兽争霸，都没有什么问题。

可是，网络世界中总是会有邪恶的“人”出现，它就不按照大家约定好的规则来发送报文。比如扫描整个网络中的开放端口，扒取各种可能的网页/网络信息，发送大量报文进行冲击。仅仅依靠单纯而美好的协议世界无法阻止这种不按约定而来的行为。

还记得我们最开始的网络概念么？

理想单纯而美好，可是“邪恶”的报文如入无人之境。无奈诚实的人为了对付恶势力也得武装自己，在大门的入口装起了大量的机关，用来抵抗那些非法的坏报文。

看上去这是一种不错的方式，守住大门总能防住无理的窥探。这里这个“复杂的机关阵”有个不错的名字，叫做iptables，这也就是它由来的原因，恩，如果不是因为时间关系，我还能继续掰下去。。。 :-)

二、iptables表

既然要设计一套八卦阵，那必须看上去十分牛逼才行。先立几道屏障再说，每一个报文要想进来必须要经过这些屏障的严格筛选，才能成为真正的神选之报文。类似这样：

这样的屏障式设计，就有了原型。

然后在每一道屏障上面再设计很多的规则链，报文必须经过这些规则链的层层检查，有多严格呢？至少要比G20进地铁站还严吧。然后每一条规则链又由多个规则串起来。

能经过这样子的五行八卦阵的报文，那么咱就勉强认为是良民了，可以被主机上的程序接受。

（当然了，想要出去的报文也一样要经过严格控制，万一坏人已经跑到了内部，是吧）

三、表和规则链

iptables一共有四张表(屏障)，但是一般只会用到两个，就是：过滤表-filter，改地址表-nat。这两个记住就行了。

iptables一共有五条基本的规则链：接收预处理-prerouting，接收-input，转发-forward，发送-output，出口后处理-postrouting。记住名字就行。

这些表和这些链的组合，并不是每张表里面都有5条链的。有些规则链只存在特定的表中。

由于设计者可能比较喜欢爱马仕的关系，他设计的组合方式就是一个大写的字母H。所以倒也比较好记，出去&进来一共4个角，中间一个转发小横杠。如下。

关于在经过“接收预处理-prerouting”环节后，是进入forward，还是进入input，这个问题。上一章节其实提到过。世界上有两种报文，发给我的，和不是发给我的。（判断是不是自己的报文，就看目的地址是不是本机的就行）。如果不是给我的，那就帮忙转发，走forward。是给自己的，那就走input。

四、规则链

用户可以在一张表中任意增加规则链，规则链上面的某个规则如果命中，那么可以要求命中的报文进入到另外的规则链中继续处理。基本长这个样子：

基本套路如下：条件 + 命中 + 动作，动作也就是那么几个：

（注意：一旦执行完规则的动作，就结束整个规则链的匹配，不继续往下匹配其他规则了。）

1. Accept：接受报文

2. Drop：丢弃报文

3. SNAT：把报文的源地址改掉（需要指定改为什么IP）

4. DNAT：把报文的目的地址改掉

5. Masquerade：高级版的SNAT，把报文的源地址改掉，改为发送网卡的IP地址（自动识别改成什么IP）

6. Redirect：高级版的DNAT，把报文的目的地址改为接收网卡的IP地址。同时可以修改目的端口（其实就是重定向给本机的某个端口）

7. 其他名字：那就代表跳转到另外一条规则链继续匹配。。。（这里的名字就等于指定的目标规则链的名字）

其他高级动作？骚年，其他动作解锁靠你自己啦：-）

五、iptables命令

额，说了这么久，貌似还没提到iptables命令怎么用。一般情况有两种方式查看当前的iptables规则：

1. # iptables -nL （或者 # iptables -t nat -nL）

列出当前表的所有规则链。

其实一个-L参数就行，但是记得我说过，网络相关的命令最好都加一个“-n”么？是的，-n让它不用做DNS翻译，也就是不要把IP地址翻译为主机名。

-L参数：

列出当前表的所有规则链。注意是大写的L。

-n参数：

不要把IP翻译为主机名

-t参数：

指定要查看的表名。不指定的话，默认查询filter表。

-v参数：

如果要定位查询规则命中的次数，可以加个-v参数，这样子输入：

# iptables -nvL （或者 # iptables -t nat -nvL）

一般查看命中次数都要先清空计数，然后再查看，所以清空规则命中计数也要学一下

-Z参数：

可以使用-Z参数清空命中统计次数。注意是大写的Z。

# iptables -Z （或者 # iptables -t nat -Z）

2. # iptables -S （或者 # iptables -t nat -S）

使用编辑模式查询当前表中的规则。恩，也就是看看当前表里面的这些规则是怎么插入的。

列出来的每一行都是修改iptables的一条记录，这个在要修改iptables规则的时候特别有用。

具体怎么看显示的结果，下一节的iptables nat再细说~

作者：tsjsdbd