https://zh-space-fifa2026.com/tags/iptables/Recent content in iptables on 世界杯买球网中文站-2026FIFA赛事动态速览Hugo -- gohugo.iozh-cnYouWed, 20 May 2026 00:00:00 +0000https://zh-space-fifa2026.com/posts/linux-iptables-fang-huo-qiang-ji-chu-yu-shi-zhan/Wed, 20 May 2026 00:00:00 +0000https://zh-space-fifa2026.com/posts/linux-iptables-fang-huo-qiang-ji-chu-yu-shi-zhan/在Linux系统中，iptables是最为常见和强大的防火墙工具之一。它允许系统管理员配置内核级别的IP包过滤规则，从而控制网络流量的进出。本文将深入浅出地介绍iptables的基础概念、核心组件以及一些常见的实战应用，帮助您构建更安全的网络环境。 iptables 的核心概念 iptables的工作模型是基于“链”（Chain）和“表”（Table）的。 表（Table）： iptables支持多种表，每种表处理不同类型的网络包。最常用的有： filter 表：这是默认的表，用于对网络包进行过滤（允许或拒绝）。它包含了三个内置链：INPUT、OUTPUT、FORWARD。 nat 表：用于网络地址转换（NAT），例如将私有IP地址转换为公有IP地址，或者实现端口转发。 mangle 表：用于修改网络包的TOS（Type Of Service）、TTL（Time To Live）等IP头部信息。 raw 表：用于处理一些特殊的连接追踪（conntrack）选项。 链（Chain）： 链是网络包在流经某个表时所遵循的规则序列。当一个网络包到达一个链时，iptables会按照链中规则的顺序进行匹配。 INPUT 链：处理进入本机的数据包。 OUTPUT 链：处理从本机发出的数据包。 FORWARD 链：处理经过本机（但不源于或目的于本机）的数据包，常用于路由器。 PREROUTING 链（nat表和mangle表）：在进行任何路由判断之前处理到达的数据包。 POSTROUTING 链（nat表和mangle表）：在进行路由判断后，在数据包离开本机之前处理。 规则（Rule）： 每条规则定义了匹配条件（如源IP、目的IP、协议、端口等）和一个目标动作（Target）。 目标动作（Target）： 当一个数据包匹配了某条规则时，iptables会执行该规则指定的目标动作。常见的目标动作包括： ACCEPT：允许数据包通过。 DROP：静默丢弃数据包，对方不会收到任何反馈。 REJECT：丢弃数据包，并向发送方发送一个错误消息（如ICMP port-unreachable）。 SNAT (Source NAT)：修改数据包的源IP地址。 DNAT (Destination NAT)：修改数据包的目的IP地址。 MASQUERADE：一种特殊的SNAT，适用于动态IP地址。 iptables 命令详解 iptables命令的基本语法是： iptables [-t table] -<command> <chain> <rule_specification> -j <target> 常用命令选项： -A (Append)：在链的末尾添加一条新规则。 -I (Insert)：在链的开头（或指定位置）插入一条新规则。 -D (Delete)：删除链中的一条规则（可以通过规则号或完整规则内容删除）。 -R (Replace)：替换链中的一条规则。 -L (List)：列出链中的所有规则。 -F (Flush)：清空链中的所有规则。 -N (New-Chain)：创建一条新的自定义链。 -X (Delete-Chain)：删除一条自定义链。 -P (Policy)：设置链的默认策略（Policy）。 常用规则匹配条件：