前言：事情是这样的。最近部门在进行故障演练，攻方同学利用iptables制造了一个故障。演练最终肯定是取得了理想的效果，即业务同学在规定时间内定位了问题并恢复了业务(ps：你懂得)。

对我个人来讲一直知道iptables的存储，但是说起来使用还真有些陌生，为此专门做个记录。

1、iptables介绍

1.0、iptables基本介绍 

        iptables是Linux防火墙系统的重要组成部分，其主要功能是实现对网络数据包进出设备及转发的控制。

        iptables是集成在Linux内核中的包过滤防火墙系统。使用iptables可以添加、删除具体的过滤规则，iptables默认维护着4个表(table)和5个链(chain)，所有防火墙策略规则都被分别写入这些表与链中。如下图所示为数据包到达linux主机网卡后，内核处理数据包的大致流程。

1.1、什么是规则?

        规则就是管理员对数据包制定的触发机制，简单来说就是当数据包满足某种条件就执行指定的动作。对于网络协议这里的条件显然就是"五元组"那些东西：例如数据包源地址、目的地址、协议的给。动作：可以是拒绝、接受、丢弃等。ps：后面会详细介绍。

        iptables基本语法格式如下：

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

各参数含义如下(各取值后面会有介绍)：

• -t：指定需要维护的防火墙规则表(filter/nat/mangle/raw等)，不指定默认filter。
• COMMAND：子命令，定义对规则的管理。
• chain：指明链表。
• CRETIRIA：匹配参数。
• ACTION：触发什么动作(ACCEPT/DROP/等)。

       下面提供一个iptables命令规则，便于直观理解。

iptables -t filter -A INPUT -i eth0 -p tcp -s 192.23.2.0/24 -m multiport --dports 443,80 -j ACCEPT

#-t：操作filter表
#-A：在表末追加规则；-I为表首插入规则、-D为删除规则
#INPUT：链名称；该规则在那条链上生效
#-j：数据包处理动作；比如接受、拒绝等

命令解释：允许经过本机网卡eth0，访问协议是TCP，源地址是192.23.2.0/24段的数据包访问本地端口80和443的服务。

1.2、什么是表?

        表主要是用来存放具体的防火墙规则的。规则就是为了达到某种约束目的，比如修改数据包源/目的ip、拒绝来自某个网段的数据包访问本机等；我们可以对规则进行分类，不同的功能存入不同的表。分类如下：

• filter表：主要用于过滤流入和流出的数据包，根据具体的规则决定是否放行该数据包；
• nat表：主要用于修改数据包的源地址和目的地址、端口号等信息(实现网络地址转换,如SNAT、DNAT、MASQUERADE、REDIRECT)；
• raw表：主要决定数据包是否被状态跟踪机制处理；
• mangle表：主要用于超姐报文修改数据包的IP头信息；
• security表：最不常用的表，用在SELinux上；用于强制访问控制(MAC)网络规则，由Linux安全模块(SELinux)实现其中nat表和filter表最常用。

1.3、什么是链？

        "链"是指内核中控制网络定义的几个规则链。根据上图我觉得可以简单的理解为规则生效的时机(表中存放了具体的规则，那规则什么时候生效呢？)。其实就是一条链路链接在一起的规则。 由上图我们知道有如下五个数据链：

• INPUT(入站数据过滤)：路由判断后确定数据包流入本机,此时应用这里的规则；
• OUTPUT(出站数据过滤)：本机应用向外发出数据包时，应用这里的规则；
• FORWARD(转发数据过滤)：路由判断之后确定数据包要转发给其他主机，应用此规则；注：linux主机需要开启ip_forward功能才支持转发，在/etc/sysctl.conf文件中配置参数net.ipv4.ip_forward=1
• PREROUTING(路由前过滤)：数据包到达防火墙时，进行路由判断之前指定的规则；
• POSTROUTING(路由后过滤)：在数据包离开防火墙时候进行路由判断之后执行的规则。规则按照从上到下的顺序进行匹配，当一个数据包与某个规则匹配成功后就会按照规则的动作处理，即后续的规则不再会被考虑。

如下梳理几个典型场景数据链路情况：

（1）外部主机发送数据包给防火墙主机：数据会经过PREROUTING链与INPUT链。

（2）防火墙本机发送数据包到外部主机：数据会经过OUTPUT链与POSTROUTING链；

（3）防火墙备机作为路由负责转发数据：数据经过PREROUTING链、FORWARD链以及POSTROUTING链。

2、iptables的语法规则

2.1、iptables基本语法格式

（1）语法格式 

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

各参数含义如下：

• -t：指定需要维护的防火墙规则表(filter/nat/mangle/raw等)，不指定默认filter。
• COMMAND：子命令，定义对规则的管理。
• chain：指明链表。
• CRETIRIA：匹配参数。
• ACTION：触发什么动作(ACCEPT/DROP/等)。

（2）规则表

见上述规则表的介绍。这里知道不指定的时候回默认为filter就可以了。

（3）命令COMMAND

-A 添加防火墙规则
-D 删除防火墙规则
-I 插入防火墙规则
-F 清空防火墙规则
-L 列出添加防火墙规则
-R 替换防火墙规则
-Z 清空防火墙数据表统计信息
-P 设置链默认规则

（4）chain

参见上述链的介绍

（5）标准criteria(其实就是匹配条件)

参 数    功 能
[!]-p  匹配协议，! 表示取反
[!]-s  匹配源地址
[!]-d  匹配目标地址
[!]-i  匹配入站网卡接口
[!]-o  匹配出站网卡接口
[!]--sport  匹配源端口
[!]--dport  匹配目标端口
[!]--src-range  匹配源地址范围
[!]--dst-range  匹配目标地址范围
[!]--limit  四配数据表速率
[!]--mac-source  匹配源MAC地址
[!]--sports  匹配源端口
[!]--dports  匹配目标端口
[!]--stste  匹配状态（INVALID、ESTABLISHED、NEW、RELATED)
[!]--string  匹配应用层字串

（6）触发动作(其实就是行为)

触发动作   功 能
ACCEPT  允许数据包通过
DROP  丢弃数据包
REJECT  拒绝数据包通过
LOG  将数据包信息记录 syslog 曰志
DNAT  目标地址转换
SNAT  源地址转换
MASQUERADE  地址欺骗
REDIRECT  重定向

2.2、看个具体的例子

下面提供一个iptables命令规则，便于直观理解。

iptables -t filter -A INPUT -i eth0 -p tcp -s 192.23.2.0/24 -m multiport --dports 443,80 -j ACCEPT

#-t：操作filter表
#-A：在表末追加规则；-I为表首插入规则、-D为删除规则
#INPUT：链名称；该规则在那条链上生效
#-j：数据包处理动作；比如接受、拒绝等

命令解释：允许经过本机网卡eth0，访问协议是TCP，源地址是192.23.2.0/24段的数据包访问本地端口80和443的服务。

3、iptables常用指令

3.1、查看规则

iptables -nvL   #查看默认的filter表
iptables -nvL -t nat  #指定查看nat表
iptables -nvL --line-number  #显示规则行号(可用于指定行号删除规则)

各参数含义如下：

-L表示查看当前表的所有规则，默认查看的是filter表；如果要查看nat表需追加"-t nat"指定；

-n表示不对IP进行反查，加上这个参数显式速度会更快；

-v表示输出详细信息，包含通过改规则的数据包数据量、总字节数以及相应的网络接口；

iptables -nL --line-number

如下图所示圆框部分即为规则号、方框部分即为一条具体的规则。

注：可以看到这个规则作用filter表的INPUT链，对于来源是9.137.22.127的数据包直接drop。

3.2、添加规则

添加规则有两个命令，分别是-A添加到规则的末尾) 和 -I 插入指定位置(如果没有指定的话就默认插入到规则的首部)。

//丢弃来自特定IP的所有数据包。
//filter表的INPUT链插入一条规则。规则为：来源是9.137.22.127/192.168.1.5的请求全部丢弃。
iptables -A INPUT -s 9.137.22.127 -j DROP
iptables -A INPUT -s 192.168.1.5 -j DROP


//丢弃某个端口的所有tcp数据包
//filter表的INPUT链超如一条规则。规则为：来自22端口的任何TCP数据包都直接丢弃。
iptables -A INPUT -p tcp --dport 22 -j DROP

//允许tcp协议目标端口22的数据包进入
iptables -A INPUT -p tcp --dport=22 -j ACCEPT

//允许tcp协议来源ip是1.2.3.4的数据包的进入
iptables -A INPUT -p tcp -s 1.2.3.4 -j ACCEPT

查看规则如下：

3.3、修改规则

修改规则时候需要使用 -R 参数。

//修改上述规则号为1的规则，修改成"s 9.137.22.127 -j ACCEPT"
iptables -R INPUT 1 -s 9.137.22.127 -j ACCEPT

#修改上述规则好为6的规则，修改成"-s 1.3.4.2 -j DROP"
iptables -R INPUT 5 -p tcp -s 1.3.4.2 --dport=9380 -j DROP

执行两条指令后，查看iptables效果如下。

3.4、删除规则

修改规则有两种方法，但都必须使用-D参数。

#指定规则号及规则删除(太麻烦)



#仅指定规则号删除
iptables -D INPUT 5
iptables -D INPUT 4

删除后再次查看规则，如下就只剩下三个规则了：

iptables -nvL --line-number

4、验证效果

4.1、限制某个IP不能访问

初始状态。工具机 9.137.22.127上执行脚本访问mongo_proxy服务所在的机器(30.169.0.179)。

如下图，显然可以正常访问到数据：

接下来在mongo_proxy所在机器上限制来自ip 9.137.22.127的访问，即添加如下规则：

iptables -A INPUT -s 9.137.22.127 -j DROP

 然后就访问不通了。