iptables学习总结1--基本语法

基本概念

iptables只是linux的防火墙的管理工具，真正实现防火墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。

iptables过滤各种规则的,主要依赖于如下的四表五链：

• filter表——过滤数据包 【重要】
• Nat表——用于网络地址转换（IP、端口）
• Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
• Raw表——决定数据包是否被状态跟踪机制处理
• INPUT链——进来的数据包应用此规则链中的策略 【重要】
• OUTPUT链——外出的数据包应用此规则链中的策略 【重要】
• FORWARD链——转发数据包时应用此规则链中的策略 【重要】
• PREROUTING链——对数据包作路由选择前应用此链中的规则（所有的数据包进来的时侯都先由这个链处理）
• POSTROUTING链——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

基本语法

iptables 表名 链名 匹配条件 动作

-t 表名（默认为filter)

链名 ( INPUT | OUTPUT | FORWARD )

匹配条件:
-P设置默认策略:iptables-P INPUT(DROP|ACCEPT)
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK，加叹号"!"表示除这个IP外。
-d匹配目标地址
-i网卡名称匹配从这块网卡流入的数据
-o网卡名称匹配从这块网卡流出的数据
-p匹配协议,如tcp,udp,icmp
--dport num匹配目标端口号
--sport num匹配来源端口号

动作：
ACCEPT：对满足策略的数据包允许通过
DROP：丢弃数据包，且不返回任何信息
REJECT：丢弃数据包，但是会返回拒绝的信息
LOG：把通过的数据包写到日志中（相当于一个门卫对进去的人进行登记）

示例：iptables -t filter -A INPUT –s 192.168.0.0/24 -p tcp --dport 80 –j REJECT
说明: 对filter表的INPUT链，追加一条策略，策略是，源地址在192.168.0.0/24网段内，使用tcp协议，目标端口为80的所有输入包都执行REJECT动作（拒绝）

常用命令

iptables -nvL --line-number (详细信息)
iptables -L （简单列表）