1.IPtables介紹

Iptables(以下簡稱Iptables)是unix/linux自帶的一款優秀且開放源代碼的完全自由的基於包過濾(對OSI模型的四層或者是四層以下進行過濾)的防火牆工具，它的功能十分強大，使用非常靈活，可以對流入和流出伺服器的數據包進行很精細的控制。

iptables其實並不是真正的防火牆，我們可以把他理解為一個客戶端的代理，用戶是通過iptables這個代理，將用戶的安全設定執行到對應的“安全框架”中，這個“安全框架”才是真正的防火牆。這個框架叫做“netfilter”。

netfilter：內核空間，是真正實現防火牆的功能。
iptables：用戶空間，在/sbin/iptables存在的防火牆，通過iptables提供管理，修改，刪除或者插入規則。
用戶和內核交互的一個工具就是iptables。

iptables工作流程

1、防火牆是一層層過濾的。實際是按照配置規則的順序從上到下，從前到後進行過濾的。
2、如果匹配上了規則，即明確表明是阻止還是通過，此時數據包就不在向下匹配新規則了。
3、如果所有規則中沒有明確表明是阻止還是通過這個數據包，也就是沒有匹配上規則，向下進行匹配，直到匹配預設規則得到明確的阻止還是通過。
4、防火牆的預設規則是對應鏈的所有的規則執行完以後才會執行的（最後執行的規則）。

2.四表五鏈

預設情況下，iptables根據功能和表的定義劃分包含三個表，filter,nat,mangle,其每個表又包含不同的操作鏈（chains )。 實際iptables包含4張表和五個鏈,主要記住filter即可。
四個表

必須是小寫
raw   ------------追蹤數據包， ----此表用處較少，可以忽略不計
mangle   -------- 給數據包打標記,做標記
nat   ---------網路地址轉換即來源與目的的IP地址和port的轉換。
filter   --------做過濾的，防火牆裡面用的最多的表。
#表的應用順序：raw-》mangle-》nat-》filter

五個鏈

五鏈：（必須是大寫）鏈裡面寫的是規則。
PREROUTING  ---------------------進路由之前數據包
INPUT    -----------------就是過濾進來的數據包（輸入）
FORWARD -----------------轉發
OUTPUT  ---------------發出去的數據包
POSTROUTING    --------------路由之後數據包
#所有的訪問都是按順序:
入站:比如訪問自身的web服務流量。先PREROUTING（是否改地址，只能改目標地址），經路由再INPUT（是否允許）到達程式。
轉發:經過linux網關的流量.先PREROUTING（是否改地址），然後路由。轉發給FORWARD（轉發或者丟棄），最後經過POSTROUTING（看看改不改地址，原地址和目標地址。）
出站:源自linux自身的流量.先OUTPUT，再給POSTROUTING（是否改IP）。
#規則順序:逐條匹配，匹配即停止。

四表五鏈

raw表裡面：
PREROUTING
OUTPUT
總結:數據包跟蹤  內核模塊iptables_raw
===============================================
mangel表裡面有5個鏈：
PREROUTING  
INPUT    
FORWARD 
OUTPUT 
POSTROUTING
路由標記用的表。內核模塊iptables_mangle
=====================================================
nat表裡面的鏈：
PREROUTING
INPUT
OUTPUT
POSTROUTING
轉換地址的表(改IP，改埠。當網關使用的linux。保護內外網流量。內核模塊叫iptable_nat)
==========================================
filter表有三個鏈：重點
INPUT    #負責過濾所有目標是本機地址的數據包通俗來說：就是過濾進入主機的數據包
FORWARD  #負責轉發經過主機的數據包。起到轉發的作用
OUTPUT   #處理所有源地址是本機地址的數據包通俗的講：就是處理從主機發出的數據包
總結:根據規則來處理數據包，如轉或者丟。就是實現主機型防火牆的主要表。
內核模塊 iptable_filter

3.iptables參數詳解

1.安裝iptanles

centos7
[root@iptables-server ~]# yum install -y iptables iptables-services  #安裝iptables
[root@iptables-server ~]# systemctl stop firewalld    #關閉防火牆
[root@iptables-server ~]# systemctl  disable firewalld   #永久關閉
[root@iptables-server ~]# systemctl start iptables     #啟動iptables
查看版本:
[root@iptables-server ~]# iptables -V 
iptables v1.4.21
如果你是centos(5/6) ，iptanles的啟動方式用這個命令
#/etc/init.d/iptables start

2.常用參數

-L:列出一個鏈或所有鏈中的規則信息
-n：以數字形式顯示地址、埠等信息
-v：以更詳細的方式顯示規則信息
--line-numbers：查看規則時，顯示規則的序號（方便之處，通過需要刪除規則-D INPUT 1
-F：清空所有的規則（-X是清理自定義的鏈，用的少；-Z清零規則序號）
-D：刪除鏈內指定序號（或內容）的一條規則
-R：修改規則
-P：為指定的鏈設置預設規則
-A：在鏈的末尾追加一條規則
-I：在鏈的開頭（或指定序號）插入一條規則
-t: 指定表名
.... 更多參數可通過--help查看

3.具體使用的例子

-L:列出一個鏈或所有鏈中的規則信息
[root@iptables-server ~]# iptables -L  預設查看所有鏈規則
-t: 指定表名  但是如果不加-t參數，預設使用的是filter表
[root@iptables-server ~]# iptables -t nat -L   #列出nat表中的規則
[root@iptables-server ~]# iptables -nL  #以數字的形式顯示ip和埠與協議
[root@iptables-server ~]# iptables -nL --line  #顯示規則行號
清空規則：
#iptables  -F 
清空單獨的某一個鏈裡面的規則
#iptables  -F  鏈名
清空單獨的某一個表裡的，某一個鏈裡面的規則
# iptables -t nat -F 鏈名
保存規則：
[root@iptables-server ~]# service iptables save
或者
[root@iptables-server ~]# iptables-save > /etc/sysconfig/iptables
不保存的話只是臨時起作用，重啟會失效

iptables的一般語法規則

iptables -t 表名 動作  [鏈名] [-p 匹配條件] [-j 控制類型]
-j：控制類型， 通過前面匹配到之後是丟棄還是保留數據包的處理方式: 
ACCEPT允許，
REJECT拒絕，
DROP丟棄。 不會給用戶返回任何的拒絕消息，不推薦使用。
LOG寫日誌（log不適用匹配，只是記錄一下）
======================================================
動作：添規則還是刪除規則
-p：匹配條件：數據包特征ip，埠等
如果不寫-t 預設使用filter表
=======================================================
動作
修改預設規則： -P （大p）
刪除規則：-D
修改規則：-R
追加規則: -A  預設追加到鏈的末尾
插入規則：-I （大i），在鏈的開頭（或指定序號）插入一條規則

舉例

iptables -t filter -A INPUT -p tcp -j ACCEPT    #在filter表INPUT鏈的最後一行插入允許tcp的規則
iptables -I INPUT -p udp -j ACCEPT   #在filter表INPUT鏈的第一行插入允許udp的規則
iptables -I INPUT 4 -p icmp -j ACCEPT   #在filter表INPUT鏈的第四行插入允許icmp的規則
iptables -D INPUT 3  #刪除filter表INPUT鏈的第三行規則

案例
協議：-p （小p）
tcp ---用的最多
udp
icmp ---ping的時候用的協議

使用協議的時候可以不指定埠，使用埠的時候必須指定協議。

1.禁止自己被別人ping
[root@iptables-server ~]# iptables -A INPUT -p icmp -j REJECT
我們去另一臺上面測試
[root@iptables-test ~]# ping 192.168.13.139
PING 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
From 192.168.13.139 icmp_seq=1 Destination Port Unreachable
2.拒絕test（192.168.13.140）這台機器通過ssh連接到本伺服器
埠：
--sport    ---源埠
--dport    --目標埠
-s ： 指定ip地址
[root@iptables-server ~]# iptables -I INPUT -s 192.168.13.140 -p tcp --dport 22 -j REJECT
驗證：
[root@iptables-test ~]# ssh [email protected]
ssh: connect to host 192.168.13.139 port 22: Connection refused
[root@iptables-server ~]# iptables -I INPUT -s 192.168.13.140 -p tcp --dport 22:80 -j REJECT 
#埠的範圍: 拒絕192.168.13.140這台機器通過22埠到80埠的訪問，包括22和80埠在內
驗證：
[root@iptables-test ~]# curl -I http://192.168.13.139
curl: (7) Failed connect to 192.168.13.139:80; Connection refused
-s後面可以跟多個ip地址，比如-s 192.168.13.140,192.168.13.141  中間用逗號隔開
如果不指定-s ip地址 ，那就是對所有的機器都生效
3.禁止ping策略原則
iptables伺服器是ping命令發起者或是接受者
-i --in-interface：在INPUT鏈配置規則中，指定從哪一個網卡介面進入的流量（只能配置在INPUT鏈上）
-o --out-interface：在OUTPUT鏈配置規則中，指定從哪一個網卡介面出去的流量（只能配置在OUTPUT鏈上）
====================================================
icmp的類型:
0: Echo Reply——回顯應答（Ping應答）ping的結果返回。
8: Echo request——回顯請求（Ping請求），發出去的請求。
=====================================================
iptables伺服器-----發起者：ping 別的機器
1.自己不能ping別人，但是別人可以ping自己:
[root@iptables-server ~]# iptables -I OUTPUT -o ens33 -p icmp --icmp-type 8 -j REJECT  #ping發出的請求禁止掉了
驗證:
[root@iptables-server ~]# ping 192.168.13.140  #將ping請求給禁止掉了。
PING 192.168.13.140 (192.168.13.140) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
[root@jenkins-server ~]# ping 192.168.13.139   #可以ping通
PING 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
64 bytes from 192.168.13.139: icmp_seq=1 ttl=64 time=0.280 ms
=========================================================================================
iptables伺服器作為接受者。也就是別人ping自己：
本機可以ping其他機器。其他機器不能ping通本機:
第一種方法：
[root@iptables-server ~]# iptables -I OUTPUT -o ens33 -p icmp --icmp-type 8 -j ACCEPT #允許自己ping別人
[root@iptables-server ~]# iptables -A INPUT -i ens33 -p icmp  --icmp-type 8 -j REJECT  #將進來的ping請求給丟棄了。
換一種方法：
[root@iptables-server ~]# iptables -I OUTPUT -o ens33 -p icmp --icmp-type 0 -j REJECT #不給回應icmp包
驗證:
[root@iptables-server ~]# ping 192.168.13.140   #ping其他機器通
PING 192.168.13.140 (192.168.13.140) 56(84) bytes of data.
64 bytes from 192.168.13.140: icmp_seq=1 ttl=64 time=0.491 ms
[root@iptables-test ~]# ping 192.168.13.139    #其他機器ping不同
PING 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
=========================================================================================
拒絕任何ping的協議:
[root@iptables-server ~]# iptables -A INPUT -p icmp -j DROP

4.擴展匹配

顯示匹配:如埠匹配，IP範圍，MAC地址，等特殊匹配

#iptables -m iprange   --help
1.指定ip範圍:
語法： -m iprange --src-range
# iptables -I INPUT -p tcp --dport 80 -m iprange --src-range 192.168.13.120-192.168.13.150 -j REJECT
2.指定多埠範圍：一次拒絕多個指定埠
語法：
-m multiport --sports   #源埠
-m multiport --dports   #目的埠
# iptables -A INPUT -p tcp -m  multiport --dports 22,80 -s 192.168.13.140 -j REJECT
驗證:在13.140機器上
# ssh [email protected]  #不通
ssh: connect to host 192.168.13.139 port 22: Connection refused
3.MAC地址匹配
拒絕MAC地址的匹配：只能匹配源MAC地址
語法: -m mac --mac-source
# iptables -I INPUT -p icmp -m mac --mac-source 0:0c:29:cd:26:77 -j REJECT #拒絕指定的MAC地址服務通過icmp協議請求到本地
# iptables -I INPUT -m mac --mac-source 00:0C:29:64:E3:8D -j REJECT  #將指定的MAC地址服務請求全部禁止了
# iptables -I INPUT -i ens33 -j DROP  #通過網卡介面，誰也連不上了.

你們的評論和點贊是我寫文章的最大動力，蟹蟹。