---

Iptables教程
1. iptables防火墻簡介
Iptables也叫netfilter是Linux下自帶的一款免費(fèi)且優(yōu)秀的基于包過濾的防火墻工具，它的功能十分強(qiáng)大，使用非常靈活，可以對流入、流出、流經(jīng)服務(wù)器的數(shù)據(jù)包進(jìn)行精細(xì)的控制。iptables是Linux2.4及2.6內(nèi)核中集成的模塊。
2. Iptables服務(wù)相關(guān)命令
1.查看iptables狀態(tài)
service iptables status
2.開啟/關(guān)閉iptables
service iptables start
service iptables stop
3.查看iptables是否開機(jī)啟動
chkconfig iptables –list
4.設(shè)置iptables開機(jī)啟動/不啟動
chkconfig iptables on
chkconfig iptables off
3. iptables原理簡介
3.1. iptables的結(jié)構(gòu)
在iptables中有四張表，分別是filter、nat、mangle和raw每一個(gè)表中都包含了各自不同的鏈，最常用的是filter表。

? filter表：
filter是iptables默認(rèn)使用的表，負(fù)責(zé)對流入、流出本機(jī)的數(shù)據(jù)包進(jìn)行過濾，該表中定義了3個(gè)鏈：
INPOUT 負(fù)責(zé)過濾所有目標(biāo)地址是本機(jī)地址的數(shù)據(jù)包，就是過濾進(jìn)入主機(jī)的數(shù)據(jù)包。
FORWARD 負(fù)責(zé)轉(zhuǎn)發(fā)流經(jīng)本機(jī)但不進(jìn)入本機(jī)的數(shù)據(jù)包，起到轉(zhuǎn)發(fā)的作用。
OUTPUT 負(fù)責(zé)處理所有源地址是本機(jī)地址的數(shù)據(jù)包，就是處理從主機(jī)發(fā)出去的數(shù)據(jù)包。

---

#查看幫助 iptables -h man iptables列出iptables規(guī)則 iptables -L -n 列出iptables規(guī)則并顯示規(guī)則編號 iptables -L -n --line-numbers列出iptables nat表規(guī)則（默認(rèn)是filter表） iptables -L -n -t nat清除默認(rèn)規(guī)則（注意默認(rèn)是filter表，如果對nat表操作要加-t nat） #清楚所有規(guī)則 iptables -F #重啟iptables發(fā)現(xiàn)規(guī)則依然存在，因?yàn)闆]有保存 service iptables restart#保存配置 service iptables save#禁止ssh登陸（若果服務(wù)器在機(jī)房，一定要小心） iptables -A INPUT -p tcp --dport 22 -j DROP//靜止22端口被訪問 #刪除規(guī)則 iptables -D INPUT -p tcp --dport 22 -j DROP-A, --append chain 追加到規(guī)則的最后一條 -D, --delete chain [rulenum] Delete rule rulenum (1 = first) from chain 刪除 -I, --insert chain [rulenum] Insert in chain as rulenum (default 1=first) 添加到規(guī)則的第一條 -p, --proto proto protocol: by number or name, eg. 'tcp',常用協(xié)議有tcp、udp、icmp、all -j, --jump target 常見的行為有ACCEPT、DROP和REJECT三種，但一般不用REJECT，會帶來安全隱患注意：INPUT和DROP這樣的關(guān)鍵字需要大寫#禁止192.168.33.0網(wǎng)段從eth0網(wǎng)卡接入 iptables -A INPUT -p tcp -i eth0 -s 192.168.33.0 -j DROP iptables -A INPUT -p tcp --dport 22 -i eth0 -s 192.168.33.61 -j ACCEPT#禁止ip地址非192.168.10.10的所有類型數(shù)據(jù)接入 iptables -A INPUT ! -s 192.168.10.10 -j DROP#禁止ip地址非192.168.10.10的ping請求 iptables -I INPUT -p icmp --icmp-type 8 -s 192.168.50.100 -j DROP#擴(kuò)展匹配：1.隱式擴(kuò)展 2.顯示擴(kuò)展#隱式擴(kuò)展-p tcp--sport PORT 源端口--dport PORT 目標(biāo)端口#顯示擴(kuò)展：使用額外的匹配規(guī)則-m EXTENSTION --SUB-OPT-p tcp --dport 22 與 -p tcp -m tcp --dport 22功能相同state：狀態(tài)擴(kuò)展，接口ip_contrack追蹤會話狀態(tài)NEW：新的連接請求ESTABLISHED：已建立的連接請求INVALID：非法連接RELATED：相關(guān)聯(lián)的連接#匹配端口范圍 iptables -I INPUT -p tcp --dport 22:80 -j DROP#匹配多個(gè)端口 iptables -I INPUT -p tcp -m multiport --dport 22,80,3306 -j ACCEPT#不允許源端口為80的數(shù)據(jù)流出 iptables -I OUTPUT -p tcp --sport 80 -j DROP%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

---

總結(jié)

以上是生活随笔為你收集整理的linux中iptables对防火墙的操作的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。