一.iptables的安裝：yum -y install iptables

iptables開機(jī)自啟動(dòng)：chkconfig iptables on

iptables啟動(dòng):/etc/init.d/iptables start

iptables關(guān)閉:/etc/init.d/iptables stop

iptables的狀況查看：chkconfgi --list | grep iptables

iptables的配置文件：/etc/sysconfig/iptables

二.防火墻基礎(chǔ)：

1.防火墻策略一般分為兩種，一種叫“通”策略，一種叫“堵”策略，通策略，默認(rèn)門是關(guān)著的，必須要定義誰(shuí)能進(jìn)。堵策略則是，大門是洞開的，但是你必須有身份認(rèn)證，否則不能進(jìn)。所以我們要定義，讓進(jìn)來(lái)的進(jìn)來(lái)，讓出去的出去，所以通，是要全通，而堵，則是要選擇。

2.iptables就根據(jù)規(guī)則所定義的方法來(lái)處理這些數(shù)據(jù)包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。

3.表（tables）提供特定的功能，iptables內(nèi)置了4個(gè)表，即filter表、nat表、mangle表和raw表，每個(gè)表的功能如下：

1.)filter：定義允許或者不允許的

2.)nat ：定義地址轉(zhuǎn)換的 

3.)mangle：修改報(bào)文原數(shù)據(jù)

4.）raw：數(shù)據(jù)跟蹤處理上

我們修改報(bào)文原數(shù)據(jù)就是來(lái)修改TTL的。能夠?qū)崿F(xiàn)將數(shù)據(jù)包的元數(shù)據(jù)拆開，在里面做標(biāo)記/修改內(nèi)容的。而防火墻標(biāo)記，其實(shí)就是靠mangle來(lái)實(shí)現(xiàn)的。

4.鏈（chains）是數(shù)據(jù)包傳播的路徑，每一條鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，iptables就會(huì)從鏈中第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。如果滿足，系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；否則iptables將繼續(xù)檢查下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，iptables就會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略來(lái)處理數(shù)據(jù)包。

5.小擴(kuò)展:

對(duì)于filter表來(lái)講一般只能做在3個(gè)鏈(chain)上：INPUT ，F(xiàn)ORWARD ，OUTPUT

對(duì)于nat表來(lái)講一般也只能做在3個(gè)鏈(chain)上：PREROUTING ，OUTPUT ，POSTROUTING

對(duì)于mangle表則是5個(gè)鏈(chain)都可以做：PREROUTING，INPUT，F(xiàn)ORWARD，OUTPUT，POSTROUTING

6.當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入時(shí)：

① 當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入網(wǎng)卡時(shí)，它首先進(jìn)入PREROUTING鏈，內(nèi)核根據(jù)數(shù)據(jù)包目的IP判斷是否需要轉(zhuǎn)送出去。

② 如果數(shù)據(jù)包就是進(jìn)入本機(jī)的，它就會(huì)沿著向下移動(dòng)，到達(dá)INPUT鏈。數(shù)據(jù)包到了INPUT鏈后，任何進(jìn)程都會(huì)收到它。本機(jī)上運(yùn)行的程序可以發(fā)送數(shù)據(jù)包，這些數(shù)據(jù)包會(huì)經(jīng)過(guò)OUTPUT鏈，然后到達(dá)POSTROUTING鏈輸出。

③ 如果數(shù)據(jù)包是要轉(zhuǎn)發(fā)出去的，且內(nèi)核允許轉(zhuǎn)發(fā)，數(shù)據(jù)包就會(huì)如圖所示向右移動(dòng)，經(jīng)過(guò)FORWARD鏈，然后到達(dá)POSTROUTING鏈輸出。

三.iptables命令格式

iptables的命令格式較為復(fù)雜，一般的格式如下：

iptables [-t table] 命令 [chain] [rules] [-j target]

table——指定表明

命令——對(duì)鏈的操作命令

chain——鏈名

rules——規(guī)則

target——?jiǎng)幼魅绾芜M(jìn)行

1．表選項(xiàng)

表選項(xiàng)用于指定命令應(yīng)用于哪個(gè)iptables內(nèi)置表，iptables內(nèi)置包括filter表、nat表、mangle表和raw表。

2．命令選項(xiàng)iptables命令格式(command)

命令                  說(shuō)明

-P或–policy <鏈名>   定義默認(rèn)策略

-L或–list <鏈名>      查看iptables規(guī)則列表

-A或—append <鏈名>  在規(guī)則列表的最后增加1條規(guī)則

-I或–insert <鏈名>    在指定的位置插入1條規(guī)則

-D或–delete <鏈名>   從規(guī)則列表中刪除1條規(guī)則

-R或–replace <鏈名>  替換規(guī)則列表中的某條規(guī)則

-F或–flush <鏈名>    刪除表中所有規(guī)則

-Z或–zero <鏈名>    將表中數(shù)據(jù)包計(jì)數(shù)器和流量計(jì)數(shù)器歸零

3．匹配選項(xiàng)(paraameters參數(shù)選項(xiàng))

匹配                               說(shuō)明

-i或–in-interface <網(wǎng)絡(luò)接口名>      指定數(shù)據(jù)包從哪個(gè)網(wǎng)絡(luò)接口進(jìn)入，如ppp0、eth0和eth1等

-o或–out-interface <網(wǎng)絡(luò)接口名>    指定數(shù)據(jù)包從哪塊網(wǎng)絡(luò)接口輸出，如ppp0、eth0和eth1等

-p或—proto協(xié)議類型 < 協(xié)議類型>   指定數(shù)據(jù)包匹配的協(xié)議，如TCP、UDP和ICMP等

-s或–source <源地址或子網(wǎng)>        指定數(shù)據(jù)包匹配的源地址

–sport <源端口號(hào)>                 指定數(shù)據(jù)包匹配的源端口號(hào)，可以使用“起始端口號(hào):結(jié)束端口號(hào)”的格式指定一個(gè)范圍的端口

-d或–destination <目標(biāo)地址或子網(wǎng)>  指定數(shù)據(jù)包匹配的目標(biāo)地址

–dport目標(biāo)端口號(hào) 指定數(shù)據(jù)包匹配的目標(biāo)端口號(hào)，可以使用“起始端口號(hào):結(jié)束端口號(hào)”的格式指定一個(gè)范圍的端口

4．動(dòng)作選項(xiàng)

動(dòng)作 說(shuō)明

ACCEPT 接受數(shù)據(jù)包

DROP 丟棄數(shù)據(jù)包

REDIRECT 與DROP基本一樣，區(qū)別在于它除了阻塞包之外， 還向發(fā)送者返回錯(cuò)誤信息。

SNAT 源地址轉(zhuǎn)換，即改變數(shù)據(jù)包的源地址

DNAT 目標(biāo)地址轉(zhuǎn)換，即改變數(shù)據(jù)包的目的地址

MASQUERADE IP偽裝，即是常說(shuō)的NAT技術(shù)，MASQUERADE只能用于ADSL等撥號(hào)上網(wǎng)的IP偽裝，也就是主機(jī)的IP是由ISP分配動(dòng)態(tài)的；如果主機(jī)的IP地址是靜態(tài)固定的，就要使用SNAT

LOG 日志功能，將符合規(guī)則的數(shù)據(jù)包的相關(guān)信息記錄在日志中，以便管理員的分析和排錯(cuò)

Iptables命令格式

Iptables過(guò)濾條件

四.iptables的語(yǔ)法

iptables定義規(guī)則的方式比較復(fù)雜:

格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

-t table ：3個(gè)filter nat mangle

COMMAND：定義如何對(duì)規(guī)則進(jìn)行管理

chain：指定你接下來(lái)的規(guī)則到底是在哪個(gè)鏈上操作的，當(dāng)定義策略的時(shí)候，是可以省略的     

CRETIRIA:指定匹配標(biāo)準(zhǔn)

-j ACTION :指定如何進(jìn)行處理   

五.實(shí)戰(zhàn)演練——指定對(duì)端口的開放

1. Iptables查看現(xiàn)在都有那些規(guī)則，或者直接訪問(wèn):vi /etc/sysconfig/iptables

通過(guò)上圖，我們發(fā)現(xiàn)linux主機(jī)對(duì)所有的鏈INPUT/FORWARD/OUTPUT是允許訪問(wèn)的。

2.關(guān)閉所有的INPUT/FORWARD/OUTPUT只對(duì)某些端口開放.

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

3.關(guān)閉之后發(fā)現(xiàn)我的SecureCRT不能登陸到字符界面了，那么現(xiàn)在來(lái)開通22端口。

Iptables -A INPUT -p TCP --dport 22 -j ACCEPT

Iptables -A OUTPUT -p TCP --Sport 22 -j ACCEPT

4打開80端口，否則其他人無(wú)法訪問(wèn)網(wǎng)站

Iptables -A INPUT -p TCP --dport 80 -j ACCEPT

Iptables -A OUTPUT -p TCP --Sport 80 -j ACCEPT

5.我想ping 一下藍(lán)隊(duì)網(wǎng)絡(luò)的域名發(fā)現(xiàn)不同，這是因?yàn)镈NS對(duì)應(yīng)的端口是53以及使用的協(xié)議是UDP的。

iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT     開放出源端口53

iptables -A INPUT -p UDP --dport 53 -j ACCEPT       開放進(jìn)目標(biāo)端口53 

iptables -A INPUT -p UDP --sport 53 -j ACCEPT 

6.設(shè)置好后記得保存一下。

service iptables save