Библиотека знаний - system:iptablesЗаметки IT программиста
http://178.140.10.58:8080/
2026-04-17T11:53:15+00:00Библиотека знаний
http://178.140.10.58:8080/
http://178.140.10.58:8080/lib/exe/fetch.php?media=wiki:dokuwiki.svgtext/html2015-09-14T17:39:34+00:00Anonymous (anonymous@undisclosed.example.com)/etc/sysconfig/iptables
http://178.140.10.58:8080/doku.php?id=system:iptables:config
<div class="tags"><span>
<a href="http://178.140.10.58:8080/doku.php?id=tag:firewall&do=showtag&tag=firewall" class="wikilink1 tag label label-default mx-1" title="tag:firewall" rel="tag"><span class="iconify" data-icon="mdi:tag-text-outline"></span> firewall</a>,
<a href="http://178.140.10.58:8080/doku.php?id=tag:iptables&do=showtag&tag=iptables" class="wikilink1 tag label label-default mx-1" title="tag:iptables" rel="tag"><span class="iconify" data-icon="mdi:tag-text-outline"></span> iptables</a>
</span></div>
<h1 class="sectionedit1" id="etc_sysconfig_iptables">/etc/sysconfig/iptables</h1>
<div class="level1">
<ul>
<li class="level1"><div class="li">
<a href="http://help.ubuntu.ru/wiki/iptables" class="urlextern" title="http://help.ubuntu.ru/wiki/iptables" rel="ugc nofollow">http://help.ubuntu.ru/wiki/iptables</a>
</div></li>
</ul>
</div>
<!-- EDIT{"target":"section","name":"\/etc\/sysconfig\/iptables","hid":"etc_sysconfig_iptables","codeblockOffset":0,"secid":1,"range":"28-106"} -->
<h2 class="sectionedit2" id="создание_правил">Создание правил</h2>
<div class="level2">
<pre class="code sh">$ sudo iptables-save -c -t filter</pre>
</div>
<!-- EDIT{"target":"section","name":"\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b","hid":"\u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435_\u043f\u0440\u0430\u0432\u0438\u043b","codeblockOffset":0,"secid":2,"range":"107-202"} -->
<h3 class="sectionedit3" id="цепочки">Цепочки</h3>
<div class="level3">
<ul>
<li class="level1"><div class="li">
PREROUTING — для изначальной обработки входящих пакетов.
</div></li>
<li class="level1"><div class="li">
INPUT — для входящих пакетов адресованных непосредственно локальному процессу (клиенту или серверу).
</div></li>
<li class="level1"><div class="li">
FORWARD — для входящих пакетов перенаправленных на выход
</div><ul>
<li class="level2"><div class="li">
(заметьте, что перенаправляемые пакеты проходят сначала цепь PREROUTING, затем FORWARD и POSTROUTING).
</div></li>
</ul>
</li>
<li class="level1"><div class="li">
OUTPUT — для пакетов генерируемых локальными процессами.
</div></li>
<li class="level1"><div class="li">
POSTROUTING — для окончательной обработки исходящих пакетов.
</div></li>
</ul>
</div>
<!-- EDIT{"target":"section","name":"\u0426\u0435\u043f\u043e\u0447\u043a\u0438","hid":"\u0446\u0435\u043f\u043e\u0447\u043a\u0438","codeblockOffset":1,"secid":3,"range":"203-1002"} -->
<h3 class="sectionedit4" id="таблицы">Таблицы</h3>
<div class="level3">
<ul>
<li class="level1"><div class="li">
raw — просматривается до передачи пакета системе определения состояний. Используется редко, например для маркировки пакетов, которые НЕ должны обрабатываться системой определения состояний. Для этого в правиле указывается действие NOTRACK. Содержит цепочки PREROUTING и OUTPUT.
</div></li>
<li class="level1"><div class="li">
mangle — содержит правила модификации (обычно заголовка) IP‐пакетов. Среди прочего, поддерживает действия TTL (Time to live), TOS (Type of Service), и MARK (для изменения полей TTL и TOS, и для изменения маркеров пакета). Редко необходима и может быть опасна. Содержит все пять стандартных цепочек.
</div></li>
<li class="level1"><div class="li">
nat — просматривает только пакеты, создающие новое соединение (согласно системе определения состояний). Поддерживает действия DNAT, SNAT, MASQUERADE, REDIRECT. Содержит цепочки PREROUTING, OUTPUT, и POSTROUTING.
</div></li>
<li class="level1"><div class="li">
filter — основная таблица, используется по умолчанию если название таблицы не указано. Содержит цепочки INPUT, FORWARD, и OUTPUT.
</div></li>
</ul>
</div>
<!-- EDIT{"target":"section","name":"\u0422\u0430\u0431\u043b\u0438\u0446\u044b","hid":"\u0442\u0430\u0431\u043b\u0438\u0446\u044b","codeblockOffset":1,"secid":4,"range":"1003-2577"} -->
<h3 class="sectionedit5" id="состояние">Состояние</h3>
<div class="level3">
<ul>
<li class="level1"><div class="li">
NEW — пакет открывает новый сеанс. Классический пример — пакет TCP с флагом SYN.
</div></li>
<li class="level1"><div class="li">
ESTABLISHED — пакет является частью уже существующего сеанса.
</div></li>
<li class="level1"><div class="li">
RELATED — пакет открывает новый сеанс, связанный с уже открытым сеансом. Например, во время сеанса пассивного <abbr title="File Transfer Protocol">FTP</abbr>, клиент подсоединяется к порту 21 сервера, сервер сообщает клиенту номер второго, случайно выбранного порта, после чего клиент подсоединяется ко второму порту для передачи файлов. В этом случае второй сеанс (передача файлов по второму порту) связан с уже существующим сеансом (изначальное подсоединение к порту 21).
</div></li>
<li class="level1"><div class="li">
INVALID — все прочие пакеты.
</div></li>
</ul>
<p>
<a href="http://178.140.10.58:8080/lib/exe/fetch.php?tok=8b4e39&media=http%3A%2F%2Fhelp.ubuntu.ru%2F_media%2Fwiki%2Fkptd-simplified-ru.png" class="media" title="http://help.ubuntu.ru/_media/wiki/kptd-simplified-ru.png"><img src="http://178.140.10.58:8080/lib/exe/fetch.php?w=900&tok=9db603&media=http%3A%2F%2Fhelp.ubuntu.ru%2F_media%2Fwiki%2Fkptd-simplified-ru.png" class="media" loading="lazy" alt="" width="900" /></a>
</p>
<p>
<a href="http://178.140.10.58:8080/lib/exe/fetch.php?tok=8ced94&media=http%3A%2F%2Fhelp.ubuntu.ru%2F_media%2Fwiki%2Fnetfilter-packet-flow.png" class="media" title="http://help.ubuntu.ru/_media/wiki/netfilter-packet-flow.png"><img src="http://178.140.10.58:8080/lib/exe/fetch.php?w=900&tok=600480&media=http%3A%2F%2Fhelp.ubuntu.ru%2F_media%2Fwiki%2Fnetfilter-packet-flow.png" class="media" loading="lazy" alt="" width="900" /></a>
</p>
</div>
<!-- EDIT{"target":"section","name":"\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435","hid":"\u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435","codeblockOffset":1,"secid":5,"range":"2578-"} -->