一、iptables概述

Linux系统的防火墙：IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。
主要工作在网络层，针对IP数据包。体现对包内的IP地址、端口、协议等信息的处理上。

netfilter/iptables关系：
netfilter：属于“内态核”（Kernel Space，又称为内核空间）的防火墙功能体系。
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/intables文件下。

二、四表五链

规则表的作用：容纳各种规则链
规则链的作用：容纳各种防火墙规则
总结：表里有链，链例有规则。

四表

raw表：确定是否对该数据包进行状态跟踪。包含两个规则链：OUTPUT、PREROUTING
mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链：INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链：OUTPUT、PREROUTING、POSTROUTING
filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链：INPUT、OUTPUT、FORWARD

在Iptables的四个规则表中，mangle表和raw表的应用相对较少。

五链

INPUT：处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT：处理出战数据包，一般不在此链上做配置。
FORWARD：处理转发数据包，匹配流经本机的数据包。
PREROUTING：在进行路由器选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING：在进行路由器选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

数据包到达防火墙时，规则表之间的优先顺序：
raw > mangle > nat > filter

规则链之间的匹配顺序：
主机型防火墙：
入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING–>INPUT–>本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：PREROUTING–>FORWARD–>POSTROUTING

规则链内的匹配顺序：
自上而下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

iptables的安装
centos7默认使用firewalld防火墙，没有安装iptables，若想要使用iptables防火墙。
安装前必须先关闭防火墙，再进行安装iptables

下载完之后记得开启服务

iptables防火墙的使用方法

使用iptables命令行
命令格式为：
iptables -t规则表名（不使用-t默认filter表）管理选项 链名 匹配条件 -j 控制类型

注意事项：
不指定表名时，默认指定filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型和链名使用大写字母，其余均为小写

常用的控制类型：

ACCEPT：允许数据包通过
DROP：直接丢弃数据包，不给出任何回应信息
REJECT：拒绝数据包通过，会给数据发送端一个相应信息
SNAT：修改数据包的源地址
DNAT：修改数据包的目的地址
MASQUERADE：伪装成一个非固定公网IP地址
LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包。

常用的管理选项：

-A：在指定链的末尾追加（--append）一条新的规则
-I：在指定链的开头插入（--insert）一条新的规则，未指定序号时默认作为第一条规则
-R：修改、替换（--replace）指定链中的某一条规则，可指定规则序号或具体内容
-P：设置指定链的默认策略（--policy）
-D：删除（--delete）指定链中的某一条规则，可指定规则序号或具体内容
-F：清空（--flush）指定链中的所有规则，若未指定链名，则清空列表中的所有链
-L：列出（--list）指定链中的所有规则，若未指定链名，则列出表中的所有链
-n：使用数字形式（--numeric）显示出输出结果，如显示IP地址而不是主机名
-v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers：查看规则时，显示规则的序号

三、示例操作

添加新的规则


还可以使用


查看规则列表：
intables [-t 表名]（不写默认filter）-n -L [–line-numbers]（不指定默认显示所有）
可以写成intables -nL
但是不可以写成intables -Ln

设置默认策略：

iptables [-t]（表面） -P 链名 控制类型

一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单

删除规则：格式：
iptables -D INPUT 2
删除之前


注意：
1.若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
2.按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
3.按内容匹配删除时，确保规则存在，否则报错

清空规则：格式：
iptables [-t 表名] -F [链名]

什么都不指定就会清空所有的规则

注意：
1.-F仅仅是清空链中的规则，并不影响-P设置的默认规则，默认规则需要手动进行修改
2-P设置了DROP后，使用-F一定要小心
防止把允许远程连接的相关规则清除后导致无法远程连接主机，此清空如果没有报错规则可重启主机解决
3.如果不写表名和链名，默认清空filter表中所有链里的所有规则

四、规则的匹配

通用匹配：

可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件

协议匹配：-p 协议名
地址匹配：-s 源地址 -d目的地址 #可以是IP、网段、域名、空（任何地址）
接口匹配：-i 入站网卡、-o 出站网卡

隐含匹配：

要求以特定的协议匹配为前提，包括端口、TCP标记、ICMP类型等条件

端口匹配： --sport源端口、–dport目的端口

#可以是个别端口、端口范围
–sport 1000 匹配源端口是1000的数据包
–sport 1000：3000 匹配源端口是1000-3000的数据包
–sport ：3000 匹配源端口是3000及以下的数据包
–sport 1000：匹配源端口是1000及以上的数据包
注意：–sport和–dport必须配合-p <协议类型>使用

也可以指定IP地址

TCP标志位匹配：

格式为：
iptables 在处理入站（出站）数据包添加规则 指定协议和端口号 指定协议的步骤

TCP三次握手时的第一次握手放行SYN为1数据报文，拒绝其他包；第二次握手放行SYN，ACK为1数据报文，拒绝其他包

ICMP类型匹配：

–icmp-type ICMP类型
#可以是字符串、数字代码
“Echo-Request”（代码为8）表示请求
“Echo-Reply”（代码为0）表示回显
“Destination-Unreachable”（代码为3）表示目的不可达
关于其他可用的ICMP协议类型，可用执行“iptables -p icmp -h”命令，查看帮助信息

-0允许本机连接其他主机或者其他主机连接本主机

#此时其他主机需要配置关于icmp协议的控制类型为REJECT

显示匹配：

要求以“-m 扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配：
-m multiport --sport 源端口列表
-m muliport --dport 目的端口列表
比如：

之前介绍过从xx端口到xx端口或者指定xx端口的数据包通过，但是无法随意选择，而这个命令可以选择不连续，多个端口

还可以指定IP

IP范围匹配：

-m iprange -src-range IP范围

MAC地址匹配

-m mac --mac-source MAC地址
#禁止来自某MAC地址的数据包通过本机转发

状态匹配

-m state --state 连接状态
常见的连接状态：

NEW：主机连接目标主机，在目标主机上看到的第一个想要连接的包
ESTABLISHED：主机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进入该状态
RELATED：主机已与目标主机通信，目标主机发起新的链接方式，一般与ESTABLISHED配合使用
INVALID：无效的封包，例如数据破损的封包状态