iptables简述

一、linux防火墙基础
防火墙分为硬件防火墙和软件防火墙。

1.概述
linux 防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙。
       包过滤机制：netfilter
       管理防火墙规则命令工具：iptables
       netfilter 指linux内核中实现包过滤防火墙的内部结构，不依程序或文件的形式存在，属于“内核态”的防火墙功能体系
       iptables 指管理linux防火墙的命令工具，属于“用户态”的防火墙管理体系
2.iptables的规则表、链结构
       iptables的作用在于为包过滤机制的实现提供规则，通过不同的规则作出不同的反应.
iptables管理4个表、以及他们的规则链
   filter,用于路由网络数据包。
       INPUT 网络数据包流向服务器
       OUTPUT 网络数据包从服务器流出
       FORWARD 网络数据包经服务器路由
   nat,用于NAT表.NAT(Net Address Translation )是一种IP地址转换方法。
       PREROUTING 网络数据包到达服务器时可以被修改
       POSTROUTING 网络数据包在即将从服务器发出时可以被修改
       OUTPUT 网络数据包流出服务器
   mangle,用于修改网络数据包的表，如TOS(Type Of Service),TTL(Time To Live),等
       INPUT 网络数据包流向服务器
       OUTPUT 网络数据包流出服务器
       FORWARD 网络数据包经由服务器转发
       PREROUTING 网络数据包到达服务器时可以被修改
       POSTROUTING 网络数据包在即将从服务器发出时可以被修改
   raw, 用于决定数据包是否被跟踪机制处理
       OUTPUT 网络数据包流出服务器
       PREROUTING 网络数据包到达服务器时可以被修改

二、管理和配置Iptables规则
1.iptables的基本语法格式
       iptables [-t 表名] 命令选项[链名] [条件匹配] [-] 目标动作或跳转
       表名链名用于指定iptables命令所做对象，未指定默认filter表，命令选项指管理iptables规则的方式（插入、删除··）；条件匹配指定对条件的符合而处理；目标动作或跳转指定数据包的处理方式。
2.管理iptables规则
       控制选项
         -A 在链尾添加一条规则
       　-D 从链中删除一条规则
         -I 在链中插入一条规则
         -R 修改、替换某链的某规则
         -L 列出某个链上的规则
         -F 清空链，删除链上的所有规则
         -N 创建一个新链
         -X 删除某个规则链
         -P 定义某个链的默认策略
         -n 数字形式显示结果
         -v 查看规则列表详细信息
         -V 查看iptables命令工具版本
         -h 查看命令帮助信息
         -line-numbers 查看规则列表，显示顺序号
       增加、插入、删除和替换规则
相关规则定义的格式为：
       iptables  [-t表名]  <-A | I | D | R> 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址| 源子网] [--sport 源端口号] [-d目标IP地址 | 目标子网] [--dport目标端口号] <-j动作>
       参数说明如下。
              [-t表名]：定义默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表。
              -A：新增加一条规则，该规则将会增加到规则列表的最后一行，该参数不能使用规则编号。
              -I：插入一条规则，原本该位置上的规则将会往后顺序移动，如果没有指定规则编号，则在第一条规则前插入。
              -D：从规则列表中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。
              -R：替换某条规则，规则被替换并不会改变顺序，必须要指定替换的规则编号。
              <链名>：指定查看指定表中哪个链的规则列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
              [规则编号]：规则编号用于插入、删除和替换规则时用，编号是按照规则列表的顺序排列，规则列表中第一条规则的编号为1。
              [-i | o 网卡名称]：i是指定数据包从哪块网卡进入，o是指定数据包从哪块网卡输出。网卡名称可以使用ppp0、eth0和eth1等。
              [-p 协议类型]：可以指定规则应用的协议，包含TCP、UDP和ICMP等。
              [-s 源IP地址| 源子网]：源主机的IP地址或子网地址。
              [--sport 源端口号]：数据包的IP的源端口号。
              [-d目标IP地址| 目标子网]：目标主机的IP地址或子网地址。
              [--dport目标端口号]：数据包的IP的目标端口号。
              <-j动作>：处理数据包的动作，各个动作的详细说明可以参考表10-3。

3.数据包控制
最常见处理方式;
       ACCEPT:允许数据包通过
       DROP：直接丢弃数据包，不给任何回应信息
       REJECT：拒绝数据包通过，必要时发个响应信息
       LOG: 记录日志信息，将数据包递给下一条规则

三、常用命令

1、给防火墙添加规则，打开9109端口
[root@rusky2 ~]# iptables -A INPUT -p tcp --dport 9109 -j ACCEPT
[root@rusky2 ~]# iptables -A INPUT -p tcp --sport 9109 -j ACCEPT
2、保存防火墙配置信息，永久有效
[root@rusky2 ~]# /etc/rc.d/init.d/iptables save
Saving firewall rules to /etc/sysconfig/iptables:          [  OK  ]
3、重启防火墙
[root@rusky2 ~]# service iptables restart
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]
4、保证开机运行防火墙，永久有效
[root@rusky2 ~]# chkconfig iptables on