一、 netfilter/iptables

1、规则表:

filterINPUTOUTPUTFORWARD

natPREROUTINGPOSTROUTINGOUTPUT

mangle PREROUTINGPOSTROUTINGFORWARDINPUTOUTPUT

rawOUTPUTPREROUTING

2、 数据包过滤匹配流程

规则表优先顺序:rawmanglenatfilter

各规则间的优先顺序:按顺序匹配处理,有匹配项并处理后,不再继续查找(除LOG记录日志外),均不匹配,按默认规则处理

二、 管理和设置iptables规则

1、 iptables   [-t  表名]  命令选项  [链名]  [条件匹配]  [-j  目标动作或跳转]

iptables     [-t  表名]    命令选项       [链名]          [条件匹配]   [-j  目标动作或跳转]

-t filter -A   INPUT      通用条件匹配 -j DROP

-t nat -D   OUTPUT -p  icmp/tcp/udp -j ACCEPT

-t mangle -I   FORWARD -s 10.0.0.0/8 -j REJECT

-t raw -L   PREROUTING -d 20.0.0.10 -j LOG

-F   POSTROUTING  隐含条件匹配 -j SNAT

-X --dport   22 -j DNAT

-N --sport 20:1024 -j REDIRECT

-n tcp标记匹配

-v --tcp-flags []SYN,RST,ACK  SYN

-V ICMP类型匹配

-h --icmp-type Echo-Request

-P --icmp-type Echo-Reply

--line-numbers --icmp-type destination-Unreachable

显式条件匹配

-m mac  --mac-source

-m   multiport  --dport  20,21,25

-m   iprange  --src-range  10.0.0.10-10.0.0.100

-m state  --state  NEW

-m state  --state  ESTABLISHED,RELATED

-m   limit  --limit  3/minute  --limit-burst  8  -j  LOG

 

2、 导出、导入防火墙规则

iptables-save >  /etc/sysconfig/iptables

iptables-restore   <  /ec/sysconfig/iptables