linux-iptables增、删、改、保存

iptables基础:

iptables的5条链分别是：

prerouting 路由前

input 发到本机进程的报文

ouput 本机某进程发出的报文

forword 转发

postrouting 路由后

iptables的4张表：

filter 负责过滤工程，防火墙； 内核模块：iptables_filter

nat 网络地址转换功能,内核模块：iptables_nat

mangle 拆解报文，做出修改，并重新封装,内核模块：iptables_mangle

raw 关闭nat表上启用的连接追踪机制,iptables_raw

postrouting    路由后
iptables其实不是真正的防火墙，我们可以将其理解为一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对一个的“安全框架”（netfilter）中，这个框架才是真正的防火墙。
netfilter是防火墙真正的框架，netfilter位于内核空间。
iptables其实是一个命令工具，位于用户空间，我们用这个工具操作真正的框架。
链与表对应的功能：
prerouting的规则可以存在于：raw表、mangle表、nat表。
input的规则可以存在于：mangle表、filter表、（centos7中还有nat表，centos6中没有）
forword的规则可以存在于：mangle表、filter表。
output的规则可以存在于：raw表、mangle表、nat表、filter表。
postrouting的规则可以存在于：mangle表、nat表。

在实际的使用过程中，通常是以表作为操作入口，对规则进行定义，表与链的关系罗列：
raw表的规则可以被prerouting、output使用
mangle表的规则可以被prerouting、input、forword、output、postrouting使用
nat表中的规则可以被prerouting、output、postrouting使用
filter表中的规则可以被input、forword、output使用

一. 对iptables进行查询

1.查询每张表中的含有的链：

iptables -t 表名 -L

-t 指定要操作的表；-L 列出规则

![](https://img2018.cnblogs.com/blog/1890094/201912/1890094-20191216102646054-132322971.png)
2.查询每张表中的链里面对一个的规则：
iptables -t filter -L INPUT/OUTPUT/FORWORD/PREROUTING/POSTROUTING
![](https://img2018.cnblogs.com/blog/1890094/201912/1890094-20191216104105146-888823344.png)
pkts:对应的规则匹配到的报文数
bytes:对应匹配到的报文包的大小总和
target:规则对应的target,往往表示规则对应的“动作”，即规则匹配成功后需要采取的措施
prot:表示规则对应的协议，是否只针对某些协议应用此规则
opt:表示规则对应的选项
in：表示数据包由哪个接口网卡接入，我们可以设置通过哪块网卡流入的报文需要匹配当前的规则
out:表示数据包由哪个接口（网卡）流出，我们可以设置通过哪块网卡流出的报文需要匹配当前的规则
source：表示规则对应的源头地址，可以是一个IP，也可以是一个网段
destination:表示规则对应的目标地址，可以是一个ip,可以是一个网段
3.iptables --line-number -t 表名 -L 链名   查看某张表中的某条链
![](https://img2018.cnblogs.com/blog/1890094/201912/1890094-20191216110140036-553929005.png)
--line-number 表示显示规则的序号; -n 表示不解析ip地址

二. 对iptables进行“增、删、改”操作



iptables -F INPUT 清空filter表中的规则

1.增加规则

iptables -t filter -I INPUT -s 192.168.2.85 -j DROP

-t 指定要操作的表

-I 表示insert，即插入的意思，指定插入到哪一条链中

-s 指明匹配条件中的（source）源地址，如果报文的源地址属于-s对应的地址，那么报文满足匹配条件

-j 指明当匹配条件被满足时，所对应的动作，上例中指定的动作为DROP,在上例中，当报文的的源地址为192.168.2.85时，报文则被DROP（丢弃）

再次查看filter表中的INPUT链，发现规则已经被添加了，，在iptables中，动作被称之为“target”，所以上图中target字段对应的动作为DROP

此时，通过192.168.2.85去ping主机93



如上图所示，ping 93主机时。没有回应，iptables已经生效，ping发送的报文没有被93主机接受，而是被丢弃了。

现在INPUT链中已经存在了一条规则，它拒绝所有的192.168.2.85主机中的报文，此时，我们在这条规则之后再配置一条规则，后面的规则规定规定接受所有来自192.168.2.85的报文，测试此时iptables是否会接受来自192.168.2.85的报文？



-A 在链的尾部追加一条规则

此时查看INPUT链，发现规则已经成功追加至INPUT链的末尾，此时ping192.168.2.85主机



发现仍然ping不通，第二条规则没有生效。计数器上也可以看到没有任何报文被第二条规则匹配到。

现在，添加一条新规则到链首，新规则仍定义接受所有192.168.2.85的报文



现在第一条规则就是可以接受来自192.168.2.85的所有报文，而且此时计数是0，此刻，再从85上向93发起请求



93主机上已经可以正常接收到响应报文了，此时93主机上的INPUT链，第一条规则的计数器显示已经匹配到的报文数量。



所以说匹配规则的顺序很重要，如果报文已经被前面的规则匹配到，iptables则会执行对应的动作，及时后面的规则也能匹配到当前的报文，很有可能没有机会再对报文执行相应的动作了。以上图为例，报文被第一条规则匹配到，于是当前报文就被放行了，因为报文已经被执行了，所以，即使上图中的第二条规则能够匹配到刚才放行的报文，也没有机会再对刚才的报文进行丢弃动作了，这就是iptables的工作机制。

使用--line-number选项可以列出规则的序号，如下图所示



我们也可以在添加规则时，指定新增的规则的编号，这样我们就能在任意位置插入规则了

iptables -t filter -I INPUT 2 -s 192.168.2.85 -j ACCEPT



2.删除规则

删除匹配规则有如下两种方法：

方法一 根据规则编号去删除

方法二 根据具体的匹配条件与动作删除规则

使用方法一删除第三条规则：



-D 表示删除指定链中的某条规则，-D INPUT 3表示删除INPUT链中的第三条规则

使用方法二删除第三条规则：



不过删除时一次匹配一条规则

3.修改规则

修改某条规则中动作，例如将INPUT中的DROP动作改为REJECT

iptables -t filter -R INPUT 1 -s 192.168.2.235 -j REJECT



-R 表示修改指定的链，—R INPUT 1表示修改INPUT链中的第一条规则，-j REJECT表示将INPUT链中的第一条规则的动作修改为REJECT

再次从235主机向93主机发起ping请求



如图所示，直接提示目标不可达，而DROP是直接卡在那里。REJECT比DROP更加干脆

其实，我们还可以修改指定链的“默认策略”



每张表的每条链中都有默认策略，我们可以理解为默认动作。

当报文中么有被任何规则时，防火墙会按照默认动作处理报文，我们可以修改指定链的默认策略。



-P 指定要修改的表，-P FORWARD DROP表示将FORWARD链的默认策略改为DROP

4.保存规则

在默认情况下，我们对防火墙所做出的修改都是临时的，换句话说就是重启iptables服务或者重启服务器后，平常添加的规则或者对规则做出的修改都将消失，为了防止这种情况的发生，我们需要将规则保存。

centos6中： service iptables save 规则默认被保在/etc/sysconfig/iptables文件中

centos7中：

#配置好yum源以后安装iptables-service

# yum install -y iptables-services

#停止firewalld

# systemctl stop firewalld

#禁止firewalld自动启动

# systemctl disable firewalld

#启动iptables

# systemctl start iptables

#将iptables设置为开机自动启动，以后即可通过iptables-service控制iptables服务

# systemctl enable iptables