iptables命令

摘要：iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

1. iptables中的“四表五链”及“堵通策略”

        A.“四表”是指，iptables的功能——filter, nat, mangle, raw.
        filter, 控制数据包是否允许进出及转发（INPUT、OUTPUT、FORWARD）,可以控制的链路有input, forward, output
        nat, 控制数据包中地址转换，可以控制的链路有prerouting, input, output, postrouting
        mangle,修改数据包中的原数据，可以控制的链路有prerouting, input, forward, output, postrouting
        raw,控制nat表中连接追踪机制的启用状况，可以控制的链路有prerouting, output
    
        B.“五链”是指内核中控制网络的NetFilter定义的五个规则链，分别为
            PREROUTING, 路由前
            INPUT, 数据包流入口
            FORWARD, 转发管卡
            OUTPUT, 数据包出口
            POSTROUTING, 路由后        

        C.堵通策略是指对数据包所做的操作，一般有两种操作——“通（ACCEPT）”、“堵（DROP）”，还有一种操作很常见REJECT（拒绝）

 2.iptables命令的语法规则
    iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
          -t table，是指操作的表，filter、nat、mangle或raw, 默认使用filter
          COMMAND，子命令，定义对规则的管理
          chain, 指明链路
          CRETIRIA, 匹配的条件或标准
          ACTION,操作动作
    例如：iptables -t filter -I INPUT -p tcp --dport 23 -j ACCEPT：放开对23端口的访问
            -t filter：指操作的表（filter）
            -I：规则管理（插入新规则于指定链的指定位置，默认为首部）
            INPUT：指明链路（INPUT）
            -p tcp --dport 23：匹配条件（指定协议和端口）
            -j ACCEPT：操作动作

3.规则管理
        -A, --append chain rule-specification：追加新规则于指定链的尾部；如：Chain INPUT：最后一行
        -I, --insert chain [rulenum] rule-specification：插入新规则于指定链的指定位置，默认为首部；如：Chain INPUT：第一行
        -R, --replace chain rulenum rule-specification：替换指定的规则为新的规则；
        -D, --delete chain rulenum：根据规则编号删除规则；
        针对相同条件结果不同的规则（对23端口DROP还是ACCEPT），首行的生效；

端口DROP状态导致问题之一：网络能ping但telnet登录不上
4.查看规则　
        -L, --list [chain]：列出规则；（L为必须参数；其他为非必须参数）
        -v, --verbose：详细信息；
        　　-vv， -vvv  更加详细的信息
        -n, --numeric：数字格式显示主机地址和端口号；
        -x, --exact：显示计数器的精确值；
        --line-numbers：列出规则时，显示其在链上的相应的编号；
        -S, --list-rules [chain]：显示指定链的所有规则；     

5.链管理
        -N, --new-chain chain：新建一个自定义的规则链；
        -X, --delete-chain [chain]：删除用户自定义的引用计数为0的空链；
        -F, --flush [chain]：清空指定的规则链上的规则；
        -E, --rename-chain old-chain new-chain：重命名链；
        -Z, --zero [chain [rulenum]]：置零计数器；　　
        -P, --policy chain target， 设置链路的默认策略

6.匹配条件包括通用匹配条件+扩展匹配条件。
        通用匹配条件是指针对源地址、目标地址的匹配，包括单一源IP、单一源端口、单一目标IP、单一目标端口、数据包流经的网卡以及协议。
        扩展匹配条件：通用匹配之外的匹配条件（隐含扩展匹配条件+显式扩展匹配条件）
        1）通用匹配条件：iptables -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP：不允许10.8.0.0/16网络对80/tcp端口进行访问
            [!] -s, --source address[/mask][,...]：检查报文的源IP地址是否符合此处指定的范围，或是否等于此处给定的地址；
            [!] -d, --destination address[/mask][,...]：检查报文的目标IP地址是否符合此处指定的范围，或是否等于此处给定的地址；
            [!] -p, --protocol protocol：匹配报文中的协议，可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者 "all", 亦可以数字格式指明协议；
            [!] -i, --in-interface name：限定报文仅能够从指定的接口流入；only for packets entering the INPUT, FORWARD and PREROUTING chains.
            [!] -o, --out-interface name：限定报文仅能够从指定的接口流出；for packets entering the FORWARD, OUTPUT and POSTROUTING chains.
        2）扩展匹配条件：iptables -t filter -I INPUT -p tcp --dport 23 -j ACCEPT：放开对23端口的访问
        -p tcp：可直接使用tcp扩展模块的专用选项；
            [!] --source-port,--sport port[:port] 匹配报文源端口；可以给出多个端口，但只能是连续的端口范围 ；
            [!] --destination-port,--dport port[:port] 匹配报文目标端口；可以给出多个端口，但只能是连续的端口范围 ；
            [!] --tcp-flags mask comp 匹配报文中的tcp协议的标志位；Flags are: SYN ACK FIN RST URG PSH ALL NONE；
                mask：要检查的FLAGS list，以逗号分隔；
                comp：在mask给定的诸多的FLAGS中，其值必须为1的FLAGS列表，余下的其值必须为0；
            [!] --syn： --tcp-flags SYN,ACK,FIN,RST SYN
        -p udp：可直接使用udp协议扩展模块的专用选项：
            [!] --source-port,--sport port[:port]
            [!] --destination-port,--dport port[:port]
        -p icmp
            [!] --icmp-type {type[/code]|typename}
                0/0：echo reply
                8/0：echo request

参考链接：https://www.cnblogs.com/vathe/p/6973656.html