初学者关于iptables的疑问

Question

初学者 AS4
论坛中的贴子提到,查看iptables规则用命令iptables --list,我用了之后是这样:
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
并没有显示规则,在使用了iptables-save保存刚输入的规则时,则显示:
# Generated by iptables-save v1.2.11 on Tue Mar 21 16:13:38 2006
*nat
REROUTING ACCEPT [24095:2101156]
OSTROUTING ACCEPT [4955:305974]
:OUTPUT ACCEPT [4735:291504]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 808
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 808
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 808
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 808
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 808
COMMIT
# Completed on Tue Mar 21 16:13:38 2006
# Generated by iptables-save v1.2.11 on Tue Mar 21 16:13:38 2006
*filter
:INPUT ACCEPT [258719:129064245]
:FORWARD ACCEPT [34468:2178413]
:OUTPUT ACCEPT [229542:109243246]
COMMIT
# Completed on Tue Mar 21 16:13:38 2006
我使用了 iptables -F命令 和 iptables -D PREROUTING想把上面的规则都删除掉 可怎么也删除不了
想请教各位兄弟:
1.查看详细的iptables规则应该用什么命令?
2.如何删除上面5条规则?很多文章都说用iptables -D OUTPUT 3 来删除OUTPUT链的编号为3的规则 我怎么就没看见哪里有什么编号了?
3,上面规则里面的-m是表示什么呢？我在输入规则的时候并没有敲-m啊？

Answer 1

原帖由 xxx8u8 于 2006-3-22 15:08 发表
谢谢兄弟的指点 还有一个疑问 在filter表中input output forward分别表示输入 输出 转发
那么在nat表中 postrouting和prerouting这2个链分别表示什么意思呢?能否举下小例子?

http://ebtables.sourceforge.net/br_fw_ia/bridge3b.png

nat table，nat 本身就是網路位址轉換，所以一般用於 ip 封包內的位址改寫，常見的 snat 與 dnat 都是在這個 table 內配置使用。

==

Answer 2

跟专业硬件防火墙比，把硬件响应速度除开（硬件性能）的话，IPTABLES能不能做得很好？

Answer 3

iptables这个东西真的很复杂哟，我都被搞晕了的

Answer 4

谢谢兄弟的指点 还有一个疑问 在filter表中input output forward分别表示输入 输出 转发
那么在nat表中 postrouting和prerouting这2个链分别表示什么意思呢?能否举下小例子?

Answer 5

-A POSTROUTING –s 192.168.0.0/24 –j  MASQUERADE 就可以了。

Answer 6

还有一事请教 有的文章中指出，由于局域网的私有地址在公网上是不被允许的，所以在出公网前应该把其地址转为服务器地址进行伪装，便给出下面的命令：
-A POSTROUTING –s 192.168.0.0/24 –j SNAT --to 218.100.100.111
对于ADSL拨号用户来说 没有固定的IP地址 那么后面的IP地址我应该怎么填呢？

Answer 7

谢谢兄弟 万分感激！！自学真的很难受啊 我英语差 有人指导那么一下 可以少走好多弯路  谢谢你

Answer 8

iptables 一般主要有 filter/nat/filter table，新版本還有 raw table 可以使用。

操作 iptables 程式，預設都是針對 filter table，你要操作 nat/mangle 等 table 的話，多個 -t 參數指定即可。

ex: iptables -t nat -L
ex: iptables -t nat -F
ex: iptables -t nat -D 1

-m 表示引入 MATCH EXTENSION 的功能，那個中文翻譯就是比對延伸，也就是一堆比對的 module 項目可以使用。詳細自己看一下 manpage 都有說明。

==

[ 本帖最后由 kenduest 于 2006-3-21 23:08 编辑 ]