1.iptables介绍

iptables(以下简称iptables)是unix/linux自带的一款优秀且开放源代码的完全*的基于包过滤(对osi模型的四层或者是四层以下进行过滤)的防火墙工具，它的功能十分强大，使用非常灵活，可以对流入和流出服务器的数据包进行很精细的控制。

iptables其实并不是真正的防火墙，我们可以把他理解为一个客户端的代理，用户是通过iptables这个代理，将用户的安全设定执行到对应的“安全框架”中，这个“安全框架”才是真正的防火墙。这个框架叫做“netfilter”。

netfilter：内核空间，是真正实现防火墙的功能。
iptables：用户空间，在/sbin/iptables存在的防火墙，通过iptables提供管理，修改，删除或者插入规则。
用户和内核交互的一个工具就是iptables。

iptables工作流程

1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2、如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。
3、如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。

2.四表五链

默认情况下，iptables根据功能和表的定义划分包含三个表，filter,nat,mangle,其每个表又包含不同的操作链（chains )。 实际iptables包含4张表和五个链,主要记住filter即可。
四个表

必须是小写
raw   ------------追踪数据包， ----此表用处较少，可以忽略不计
mangle   -------- 给数据包打标记,做标记
nat   ---------网络地址转换即来源与目的的ip地址和port的转换。
filter   --------做过滤的，防火墙里面用的最多的表。
#表的应用顺序：raw-》mangle-》nat-》filter

五个链

五链：（必须是大写）链里面写的是规则。
prerouting  ---------------------进路由之前数据包
input    -----------------就是过滤进来的数据包（输入）
forward -----------------转发
output  ---------------发出去的数据包
postrouting    --------------路由之后数据包
#所有的访问都是按顺序:
入站:比如访问自身的web服务流量。先prerouting（是否改地址，只能改目标地址），经路由再input（是否允许）到达程序。
转发:经过linux网关的流量.先prerouting（是否改地址），然后路由。转发给forward（转发或者丢弃），最后经过postrouting（看看改不改地址，原地址和目标地址。）
出站:源自linux自身的流量.先output，再给postrouting（是否改ip）。
#规则顺序:逐条匹配，匹配即停止。

四表五链

raw表里面：
prerouting
output
总结:数据包跟踪  内核模块iptables_raw
===============================================
mangel表里面有5个链：
prerouting  
input    
forward 
output 
postrouting
路由标记用的表。内核模块iptables_mangle
=====================================================
nat表里面的链：
prerouting
input
output
postrouting
转换地址的表(改ip，改端口。当网关使用的linux。保护内外网流量。内核模块叫iptable_nat)
==========================================
filter表有三个链：重点
input    #负责过滤所有目标是本机地址的数据包通俗来说：就是过滤进入主机的数据包
forward  #负责转发经过主机的数据包。起到转发的作用
output   #处理所有源地址是本机地址的数据包通俗的讲：就是处理从主机发出的数据包
总结:根据规则来处理数据包，如转或者丢。就是实现主机型防火墙的主要表。
内核模块 iptable_filter

3.iptables参数详解

1.安装iptanles

centos7
[root@iptables-server ~]# yum install -y iptables iptables-services  #安装iptables
[root@iptables-server ~]# systemctl stop firewalld    #关闭防火墙
[root@iptables-server ~]# systemctl  disable firewalld   #永久关闭
[root@iptables-server ~]# systemctl start iptables     #启动iptables
查看版本:
[root@iptables-server ~]# iptables -v 
iptables v1.4.21
如果你是centos(5/6) ，iptanles的启动方式用这个命令
#/etc/init.d/iptables start

2.常用参数

-l:列出一个链或所有链中的规则信息
-n：以数字形式显示地址、端口等信息
-v：以更详细的方式显示规则信息
--line-numbers：查看规则时，显示规则的序号（方便之处，通过需要删除规则-d input 1
-f：清空所有的规则（-x是清理自定义的链，用的少；-z清零规则序号）
-d：删除链内指定序号（或内容）的一条规则
-r：修改规则
-p：为指定的链设置默认规则
-a：在链的末尾追加一条规则
-i：在链的开头（或指定序号）插入一条规则
-t: 指定表名
.... 更多参数可通过--help查看

3.具体使用的例子

-l:列出一个链或所有链中的规则信息
[root@iptables-server ~]# iptables -l  默认查看所有链规则
-t: 指定表名  但是如果不加-t参数，默认使用的是filter表
[root@iptables-server ~]# iptables -t nat -l   #列出nat表中的规则
[root@iptables-server ~]# iptables -nl  #以数字的形式显示ip和端口与协议
[root@iptables-server ~]# iptables -nl --line  #显示规则行号
清空规则：
#iptables  -f 
清空单独的某一个链里面的规则
#iptables  -f  链名
清空单独的某一个表里的，某一个链里面的规则
# iptables -t nat -f 链名
保存规则：
[root@iptables-server ~]# service iptables save
或者
[root@iptables-server ~]# iptables-save > /etc/sysconfig/iptables
不保存的话只是临时起作用，重启会失效

iptables的一般语法规则

iptables -t 表名 动作  [链名] [-p 匹配条件] [-j 控制类型]
-j：控制类型， 通过前面匹配到之后是丢弃还是保留数据包的处理方式: 
accept允许，
reject拒绝，
drop丢弃。 不会给用户返回任何的拒绝消息，不推荐使用。
log写日志（log不适用匹配，只是记录一下）
======================================================
动作：添规则还是删除规则
-p：匹配条件：数据包特征ip，端口等
如果不写-t 默认使用filter表
=======================================================
动作
修改默认规则： -p （大p）
删除规则：-d
修改规则：-r
追加规则: -a  默认追加到链的末尾
插入规则：-i （大i），在链的开头（或指定序号）插入一条规则

举例

iptables -t filter -a input -p tcp -j accept    #在filter表input链的最后一行插入允许tcp的规则
iptables -i input -p udp -j accept   #在filter表input链的第一行插入允许udp的规则
iptables -i input 4 -p icmp -j accept   #在filter表input链的第四行插入允许icmp的规则
iptables -d input 3  #删除filter表input链的第三行规则

案例
协议：-p （小p）
tcp ---用的最多
udp
icmp ---ping的时候用的协议

使用协议的时候可以不指定端口，使用端口的时候必须指定协议。

1.禁止自己被别人ping
[root@iptables-server ~]# iptables -a input -p icmp -j reject
我们去另一台上面测试
[root@iptables-test ~]# ping 192.168.13.139
ping 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
from 192.168.13.139 icmp_seq=1 destination port unreachable
2.拒绝test（192.168.13.140）这台机器通过ssh连接到本服务器
端口：
--sport    ---源端口
--dport    --目标端口
-s ： 指定ip地址
[root@iptables-server ~]# iptables -i input -s 192.168.13.140 -p tcp --dport 22 -j reject
验证：
[root@iptables-test ~]# ssh root@192.168.13.139
ssh: connect to host 192.168.13.139 port 22: connection refused
[root@iptables-server ~]# iptables -i input -s 192.168.13.140 -p tcp --dport 22:80 -j reject 
#端口的范围: 拒绝192.168.13.140这台机器通过22端口到80端口的访问，包括22和80端口在内
验证：
[root@iptables-test ~]# curl -i http://192.168.13.139
curl: (7) failed connect to 192.168.13.139:80; connection refused
-s后面可以跟多个ip地址，比如-s 192.168.13.140,192.168.13.141  中间用逗号隔开
如果不指定-s ip地址 ，那就是对所有的机器都生效
3.禁止ping策略原则
iptables服务器是ping命令发起者或是接受者
-i --in-interface：在input链配置规则中，指定从哪一个网卡接口进入的流量（只能配置在input链上）
-o --out-interface：在output链配置规则中，指定从哪一个网卡接口出去的流量（只能配置在output链上）
====================================================
icmp的类型:
0: echo reply——回显应答（ping应答）ping的结果返回。
8: echo request——回显请求（ping请求），发出去的请求。
=====================================================
iptables服务器-----发起者：ping 别的机器
1.自己不能ping别人，但是别人可以ping自己:
[root@iptables-server ~]# iptables -i output -o ens33 -p icmp --icmp-type 8 -j reject  #ping发出的请求禁止掉了
验证:
[root@iptables-server ~]# ping 192.168.13.140  #将ping请求给禁止掉了。
ping 192.168.13.140 (192.168.13.140) 56(84) bytes of data.
ping: sendmsg: operation not permitted
[root@jenkins-server ~]# ping 192.168.13.139   #可以ping通
ping 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
64 bytes from 192.168.13.139: icmp_seq=1 ttl=64 time=0.280 ms
=========================================================================================
iptables服务器作为接受者。也就是别人ping自己：
本机可以ping其他机器。其他机器不能ping通本机:
第一种方法：
[root@iptables-server ~]# iptables -i output -o ens33 -p icmp --icmp-type 8 -j accept #允许自己ping别人
[root@iptables-server ~]# iptables -a input -i ens33 -p icmp  --icmp-type 8 -j reject  #将进来的ping请求给丢弃了。
换一种方法：
[root@iptables-server ~]# iptables -i output -o ens33 -p icmp --icmp-type 0 -j reject #不给回应icmp包
验证:
[root@iptables-server ~]# ping 192.168.13.140   #ping其他机器通
ping 192.168.13.140 (192.168.13.140) 56(84) bytes of data.
64 bytes from 192.168.13.140: icmp_seq=1 ttl=64 time=0.491 ms
[root@iptables-test ~]# ping 192.168.13.139    #其他机器ping不同
ping 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
=========================================================================================
拒绝任何ping的协议:
[root@iptables-server ~]# iptables -a input -p icmp -j drop

4.扩展匹配

显示匹配:如端口匹配，ip范围，mac地址，等特殊匹配

#iptables -m iprange   --help
1.指定ip范围:
语法： -m iprange --src-range
# iptables -i input -p tcp --dport 80 -m iprange --src-range 192.168.13.120-192.168.13.150 -j reject
2.指定多端口范围：一次拒绝多个指定端口
语法：
-m multiport --sports   #源端口
-m multiport --dports   #目的端口
# iptables -a input -p tcp -m  multiport --dports 22,80 -s 192.168.13.140 -j reject
验证:在13.140机器上
# ssh root@192.168.13.139  #不通
ssh: connect to host 192.168.13.139 port 22: connection refused
3.mac地址匹配
拒绝mac地址的匹配：只能匹配源mac地址
语法: -m mac --mac-source
# iptables -i input -p icmp -m mac --mac-source 0:0c:29:cd:26:77 -j reject #拒绝指定的mac地址服务通过icmp协议请求到本地
# iptables -i input -m mac --mac-source 00:0c:29:64:e3:8d -j reject  #将指定的mac地址服务请求全部禁止了
# iptables -i input -i ens33 -j drop  #通过网卡接口，谁也连不上了.

你们的评论和点赞是我写文章的最大动力，蟹蟹。