Linux iptables基本使用

相关概念

防火墙除了软件及硬件的分类，也可对数据封包的取得方式来分类，可分为代理服务器（Proxy） 及封包过滤机制（IP Filter）。代理服务是一种网络服务，通常就架设在路由上面，可完整的掌控局域网的对外连接。IP Filter这种方式可以直接分析最底层的封包表头数据来进行过滤，所以包括 MAC地址、IP、TCP、 UDP、ICMP 等封包的信息都可以进行过滤分析的功能，用途非常广泛。其实Iptables服务不是真正的防火墙，只是用来定义防火墙规则功能的"防火墙管理工具"，将定义好的规则交由内核中的netfilter即网络过滤器来读取，从而真正实现防火墙功能。

（一）iptables抵挡封包的方式：

拒绝让Internet的封包进入Linux主机某些port
拒绝让某些来源IP的封包进入
拒绝让带有某些特殊标志( flag )的封包进入
分析硬件地址(MAC)来提供服务

（二）iptables命令中设置数据过滤或处理数据包的策略叫做规则，将多个规则合成一个链，叫规则链。

规则链则依据处理数据包的位置不同分类：

PREROUTING: 在进行路由判断之前所要进行的规则(DNAT/REDIRECT)
INPUT: 处理入站的数据包
OUTPUT: 处理出站的数据包
FORWARD: 处理转发的数据包
POSTROUTING: 在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)

（三）iptables中的规则表是用于容纳规则链，规则表默认是允许状态的，那么规则链就是设置被禁止的规则，而反之如果规则表是禁止状态的，那么规则链就是设置被允许的规则。

**raw表:**确定是否对该数据包进行状态跟踪

**mangle表:**为数据包设置标记（较少使用）

**nat表:**修改数据包中的源、目标IP地址或端口

**filter表:**确定是否放行该数据包（过滤）

规则表的先后顺序:raw→mangle→nat→filter

规则链的先后顺序:

**入站顺序:**PREROUTING→INPUT

**出站顺序:**OUTPUT→POSTROUTING

**转发顺序:**PREROUTING→FORWARD→POSTROUTING

内建表与链的关系流程图（去掉了mangle表）：

另外注意：

1.没有指定规则表则默认指filter表。

2.不指定规则链则指表内所有的规则链。

3.在规则链中匹配规则时会依次检查，匹配即停止（LOG规则例外），若没匹配项则按链的默认状态处理。

（四）iptables命令中则常见的控制类型有：

ACCEPT: 允许通过.
LOG: 记录日志信息,然后传给下一条规则继续匹配.
REJECT: 拒绝通过,必要时会给出提示.
**DROP:**直接丢弃,不给出任何回应.

iptables命令基本参数和用法

**（一）格式为：**iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

例如：

"iptables --[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] --j[ACCEPT|DROP]"

下表格为几乎所有常用的iptables参数：

|-------------|-----------------------------------------|
| 参数 | 作用 |
| -P | 设置默认策略:iptables -P INPUT (DROP|ACCEPT) |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址IP/MASK，加叹号"!"表示除这个IP外。 |
| -d | 匹配目标地址 |
| -i 网卡名称 | 匹配从这块网卡流入的数据 |
| -o 网卡名称 | 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如tcp,udp,icmp |
| --dport num | 匹配目标端口号 |
| --sport num | 匹配来源端口号 |

（二）Iptables规则查看与清除

查看：