iptables的构成（四表五链）

    表

        filter：过滤数据包

        nat ：转换数据包的源或目标地址

        mangle：用来mangle包，改变包的属性

        raw：用来不让iptables做数据包的链接跟踪处理，主要是提高性能

     *优先级：raw>mangle>nat>filter(请注意优先级)

   

    链

        INPUT：对进入主机的数据包进行修改

        OUPTUT：从主机向外发送的数据包进行修改

        FORWARD：转发的数据包，路由判断后最后一次更改包的源地址前对数据包进行修改

        PREROUTING：数据包进入防火墙后，路由判断之前对数据包进行修改

        POSTROUTING：路由判断后对数据包进行修改

iptables的基本操作       

一、管理防火墙

        启动

            # service iptables start

            # chkconfig --level 2345 iptables on

            管理程序：/etc/init.d/iptables

        关闭

            # service iptables stop

            # chkconfig iptables off

        保存防火墙规则

            # service iptables save

            规则保存位置：/etc/sysconfig/iptables

iptables 命令格式： iptables [-t 表名] 选项 规则

二、防火墙规则管理

        1）显示防火墙中的规则

            -L：显示防火墙中的规则列表

            -n：不将规则反解成服务名称（以数字）

            --line：显示规则编号

            -v：显示规则详细信息

            【在关闭的情况下，是看不到防火中的规则的】

        2）删除规则

            -D #：删除指定编号的规则

            -F：清空规则

           

                例子：删除filter表的INPUT链的第三个规则

                    # iptables -t filter -D INPUT 3

                例子：删除filter表的INPUT链的全部规则

                    # iptables -t filter -F INPUT

                例子：删除filter表的全部规则   

                    # iptables -t filter -F

        3）保存规则

            # service iptables save

            【执行保存规则操作的时候，会将内存中的规则刷新磁盘上/etc/sysconfig/iptables】 

        4）清空防火墙的计时器

            -Z: 清空规则计时器

            例子：清空filter的全部计数器

                    # iptables -t filter -Z

        5）添加

            -A: 在最后一条规则后，添加新规则

            -I：在指定的位置前插入规则。如果不指定位置，是插入在第一条

            -R：替换指定编号的规则

           

            -j 动作：指定一个数据包匹配到这个规则后所执行的操作

                动作：

                    ACCEPT:放行

                    DROP:丢弃

                   

            匹配条件：

                -d xxx：指定数据包中的目的IP

                -s xxx：指定数据包中的源的IP

                --sport xx：指定指定数据包中的源端口

                --dport xx：指定数据包中的目的端口

                -p xx：指定协议类型

           

            例子：禁止192.168.6.222链接当前主机的tcp 22端口

                # iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

           

        6）修改默认规则

            -P: 修改链的默认规则

            修改默认规则为DROP前，必须首先放行22端口

             

练习：

            1、清空防火墙的规则

                # iptables -t filtler -F

                # iptables -t nat -F

                # iptalbes -t mangle -F

                # iptables -t raw -F

            2、清空计数器

                # iptables -t filtler -Z

                # iptables -t nat -Z

                # iptalbes -t mangle -Z

                # iptables -t raw -Z       

            3、保存规则

                # service iptables save

       

            4、配置规则实现只允许自己的window链接linux主机

                # iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j ACCEPT

                # iptables -A OUTPUT -d x.x.x.x -p tcp --sport 22 -j ACCEPT

            5、修改默认规则为DROP

                # iptables -P INPUT DROP

                # iptables -P OUTPUT DROP

                # service iptables save

            6、禁止外部主机ping linux，但是linux可以ping外部主机

                # iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

                # iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

            7、允许任意主机访问linux的80端口

                # iptables -A INPUT -p tcp --dport 80 -j ACCEPT

                # iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

            8、保存规则

                # service iptables save 

PS：还望指正，谢谢 –author by ：潇湘雨错，zxhk