Linux下防火墙iptables用法规则详解

Linux下防火墙iptables用法规则详解
本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接：http://www.linuxidc.com/Linux/2012-08/67952p3.htm

iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信 息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要下载该工具并安装使用它。

 

iptables规则
 
规则--顾名思义就是规矩和原则，和现实生活中的事情是一样的，国有国法，家有家规，所以要遵纪守法的嘛。当然在防火墙上的规则，在内核看来，规则就是决定如何处理一个包的语句。如果一个包符合所有的条件，我们就用相应的处理动作来处理。书写规则的语法格式为：
 
iptables [-t table] command  chains [creteria]  -j  action
 
-t table就是表名，filter/nat/mangle三个表中的一个，默认是filter表
 
command告诉程序如何做，比如：插入一个规则，还是删除等
 
chains 链，有五个，PREROUTING  POSTROUTING INPUT OUTPUT FORWARD
 
action 处理动作，有ACCEPT  DENY DROP REJECT  SNAT  DNAT
 
理一下思路
 

下面一点点的说
 
一、Tables
 
选项-t用来指定用哪个表，它可以是下面的任何一个，默认的是filter表

 

 

二、COMMANDS
 
command指定iptables对我们提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西，或其他的动作。一下是iptables可用的command（如不做说明，默认表是filter)
 

和命令结合常用的选项
 

 

 

三、chains
 
简单说一下五个链的作用：
 
PREROUTING 是在包进入防火墙之后、路由决策之前做处理
 
POSTROUTING 是在路由决策之后，做处理
 
INPUT  在包被路由到本地之后，但在出去用户控件之前做处理
 
OUTPUT在去顶包的目的之前做处理
 
FORWARD在最初的路由决策之后，做转发处理
 
四、匹配条件
 
4.1 基本匹配

 

4.2 隐含扩展匹配
 
这种匹配操作是自动的或隐含的装入内核的。例如使用-p tcp时，不需要再装入任何东西就可以匹配只有IP包才有的特点。隐含匹配针对三种不同的协议，即TCP   UDP ICMP。它们分别有一套适用于相应协议的判断标准
 
TCP匹配 只能匹配TCP包的细节，必须有-p tcp作为前提
 
--sport port   基于TCP包的源端口来匹配包
 
--dport port   基于TCP包的目的端口来匹配包
 
--tcp-flags tcp标志位    有两个参数列表。第一个是指定要检查的标识位；第二个是指定为1的标识位
 
UDP匹配
 
--sprot port
 
--dport  port
 
ICMP匹配
 
--icmp-type
 
8 request 请求
 
0 reply  回复 响应