iptables

安装方式

这里采用的是本地yum安装,yum安装步骤且看上篇。
mount /dev/cdrom /mnt/cdrom
yum install -y iptables

概念概述

iptables 是集成在 Linux 内核中的包过滤防火墙系统。
使用 iptables 可以添加、删除具体的过滤规则.
iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。

四个表:

filter 表:默认表,用于过滤数据包,它包含三个默认的链:INPUT、OUTPUT 和 FORWARD。

nat 表:用于网络地址转换(NAT),它包含三个默认的链:PREROUTING、POSTROUTING 和 OUTPUT。

mangle 表:用于修改数据包的服务类型、TTL 和其他特性,它包含五个默认的链:PREROUTING、OUTPUT、INPUT、FORWARD 和 POSTROUTING。

raw 表:用于禁止对数据包进行任何处理,它包含两个默认的链:PREROUTING 和 OUTPUT。

五个预定义的链:

PREROUTING:用于处理接收到的数据包,包括 NAT 和其他一些操作。

INPUT:用于处理数据包进入本地系统的情况,如本地进程的通信。

FORWARD:用于处理从本地系统转发到其他系统的数据包。

OUTPUT:用于处理从本地系统发送的数据包。

POSTROUTING:用于处理从系统出口传输的数据包,如 NAT

为了方便查阅和理解,我修改成了下图……
四表五链概括图
五链

语法: iptables [-t 表名] 命令链 [规则号] [选项]
iptables [-t 表名] [选项] [链名] [匹配条件] [动作]

-t 表名 参数: 用于指定要操作的表,如果没有指定,默认为 filter 表。
命令链 : 要操作的链。
规则号 : 在链中指定规则的序号。
选项 : 指定规则的具体内容。

常见的选项包括:

  • -p : 指定协议类型。
  • -s : 指定源 IP 地址。
  • -d : 指定目标 IP 地址。
  • --sport : 指定源端口。
  • --dport : 指定目标端口。
  • -j : 指定要执行的动作,如 ACCEPT、DROP 或 REJECT 等。
  • -i : 指定输入接口。
  • -o : 指定输出接口。
  • -m : 指定要使用的模块,如 state、conntrack 等。

iptables工作流程
数据包流向

相关命令

iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp.icmp,all] [-s ip/nerwork] [–sport ports] [-d ip/netword] [–dport ports] [-j ACCEPT DROP]

iptables –F   //清除所有规则,不会处理默认的规则
iptables –X   //删除用户自定义的链
iptables –Z   //链的计数器清零

状态不佳,明个细细补上……