linux路由转发

iptables命令

1 iptables命令基本语法

iptables [-t table] command [链名] [条件匹配][-j 目标动作]

-t table
用来指明使用的表，有三种选项: filter，nat，mangle。若未指定，则默认使用filter表

command 参数

指定iptables对我们提交的规则要做什么样的操作，以下是command常用参数

-A 追加一条规则

Eg：
iptables -A INPUT -j DROP //拒绝所有人访问服务器（作为最后一条规则）

-L 查看规则列表

具体参数：

n:只显示ip地址和端口号码，不显示域名和服务名称

v:显示详细信息，包括每条规则的匹配包数量和字节数

Eg：
iptables -nL //查看规则列表，并显示ip地址和端口号码

-D 从规则列表中删除规则

Eg：
iptables -D INPUT 2

条件匹配参数

按照网络接口去匹配：

-i 匹配数据进入的网络接口

-o 匹配数据流出的网络接口

Eg：
-i eth0 //匹配从网络接口eth0进来的数据包
-i eth1 //匹配从网络接口eth1流出的数据包

按照源及目的地址匹配

-s 匹配源地址,可以是ip，网段，域名，也可以是空的(即代表任何地址)

-d 匹配目的地址

iptables -A INPUT -s 20.20.20.20 -j DROP
// 拒绝20.20.20.20 主机访问本机
iptables -A OUTPUT -d 20.20.20.20 -j DROP
// 禁止本机访问 20.20.20.20地址

目的动作

-j ACCEPT 允许数据包通过本链而不拦截它

iptables -A INPUT -j ACCEPT //允许所有访问本机的数据包通过

-j DROP 丢弃数据包:阻止数据包通过本链

iptables -A FORWARD -s 20.20.20.20 -j DROP//阻止来自20.20.20.20的数据包通过本机

-j SNAT 源地址转换

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT —to 18.18.18.18
// 将内网192.168.1.0/24 转换为公网18.18.18.18地址;SNAT,用于访问互联网

-j DNAT 目的地址转换

iptables -t nat -A PREROUTING -i eth0 -p tcp —dport 80 -j DNAT —to 192.168.1.1
//把从eth0进来访问TCP/80端口的数据包目的地改成192.168.1.1

-j 动态SNAT转换

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
// 将源地址是192.168.1.0/24 的数据包进行地址伪装，转换成 eth0 上的 IP 地址

2 linux路由转发示例

最近在项目中需要将eth0网卡 wifi网卡的数据包转发给usb0网卡（外网ip），再转出到外网，因此需要用iptables命令做路由转发，具体脚本内容如下：

#bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward //使能路由转发
iptables -t nat -A POSTROUTING -o usb0 -j MASQUERADE //数据包从usb0转出