iptables命令

centos6 iptables常用开放端口命令

iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

iptable组成

iptables的结构是由表（tables）组成，而表是由链组成，链又是由具体的规则组成。因此在编写iptables规则时要先指定表，再指定链。表的作用是区分不同功能的规则，并存储这些规则。

表 链

表

• filter：负责过滤数据包，包括的规则链有，INPUT,OUTPUT,FORWARD

• nat：用于网络地址转换，包括的规则链有，PREROUTING,POSTROUTING,OUTPUT

• mangle：主要应用在给数据打标识，规则链有，INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING

• raw：关闭启用的连接跟踪机制，回忆封包穿越防火墙速度

• security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux）实现

优先级： security>raw>mangle>nat>filter

链

• INPUT：匹配目标IP是本机的数据包

• OUTPUT：出口数据包，一般不会对此进行配置

• FORWARD：匹配流经本机的数据包

• PREROUTING：修改目的地址，用来做DNAT，例如把内网的端口映射到外网。

• POSTROUTING：修改源地址，用来做SNAT，例如局域网共享一个公网IP接入Internet.