https://i-zh-worldcup.com/tags/%E6%9C%8D%E5%8A%A1%E5%99%A8%E9%85%8D%E7%BD%AE/Recent content in 服务器配置 on 世界杯官方直播站-同步更新精彩比赛与球队资讯Hugo -- gohugo.iozh-cnYouSun, 17 May 2026 00:00:00 +0000https://i-zh-worldcup.com/posts/iptables-usage/Sun, 17 May 2026 00:00:00 +0000https://i-zh-worldcup.com/posts/iptables-usage/在Linux服务器管理中，iptables是一款强大且灵活的防火墙工具，它允许管理员定义和管理网络数据包的过滤、NAT（网络地址转换）以及其他数据包处理规则。掌握iptables的使用，对于保障服务器的网络安全至关重要。本文将详细介绍iptables的核心概念、常用命令以及一些实际应用场景。 核心概念 iptables的工作原理是基于“链”（Chains）和“表”（Tables）。 表（Tables）：iptables有几个主要的表，用于处理不同类型的数据包： filter表：这是默认的表，用于过滤数据包（允许或拒绝）。它包含INPUT、OUTPUT和FORWARD三个链。 nat表：用于网络地址转换，例如将私有IP地址转换为公有IP地址（SNAT）或反之（DNAT）。 mangle表：用于修改数据包的IP头信息，例如TTL（Time To Live）、TOS（Type Of Service）等。 raw表：用于 exempt（豁免）数据包，使其不再被其他表处理。 链（Chains）：每个表都包含一些预定义的链，它们代表了数据包在经过防火墙时所遵循的处理路径： INPUT链：处理进入本地服务器的数据包。 OUTPUT链：处理从本地服务器发出的数据包。 FORWARD链：处理在本地服务器上转发（即不属于本地服务器）的数据包。 PREROUTING链：在数据包进入路由判断之前进行处理（常用于DNAT）。 POSTROUTING链：在数据包经过路由判断之后，准备离开本地服务器之前进行处理（常用于SNAT）。 规则（Rules）：链中包含一系列的规则。当一个数据包进入某个链时，iptables会按照规则的顺序进行匹配。一旦找到匹配的规则，就会执行该规则指定的“目标”（Target）。 目标（Targets）：规则执行的目标决定了对数据包的处理方式： ACCEPT：允许数据包通过。 DROP：静默丢弃数据包，不给发送方任何回应。 REJECT：丢弃数据包，并给发送方发送一个错误消息（如ICMP “port unreachable”）。 SNAT：源地址转换。 DNAT：目标地址转换。 MASQUERADE：一种特殊的SNAT，适用于IP地址动态分配的接口。 常用命令 iptables命令的基本格式是： iptables [-t table] -<command> <chain> [options] [-j target] 查看规则： iptables -L：列出filter表中所有链的规则。 iptables -L -v：详细列出规则，包括匹配的数据包数量和字节数。 iptables -t nat -L：列出nat表中所有链的规则。 添加规则： iptables -A <chain> -p <protocol> --dport <port> -j ACCEPT：在指定链的末尾添加规则，允许指定协议和端口的流量通过。 -A：Append（追加）。 -p：Protocol（协议），如tcp, udp, icmp。 --dport：Destination Port（目标端口）。 --sport：Source Port（源端口）。 -s：Source IP address（源IP地址）。 -d：Destination IP address（目标IP地址）。 插入规则：