防火墙的主要类别：

• Netfilter（数据包过滤机制）

Netfilter将数据包的头部提取出来，分析MAC、IP、TCP、UDP、ICMP等信息，按照制定的策略对包进行过滤。
Netfilter是内核内建的一个功能，我们可以通过iptables命令制定过滤策略。

• TCP Wrapper（程序管理）
  针对服务器程序来管理连接。通过制定规则，分析该服务器谁能连接，谁不能连接。

• Proxy（代理服务器）

---

iptables和netfilter

1、基础概念

• iptables
  工作在用户空间，是一个规则编写工具；编写规则并且发送至netfilter。

• netfilter
  工作在内核空间，是个网络服务的结构化底层框架。提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。netfilter在内核中选取五个位置放了五个hook function(INPUT、OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则。

iptables和netfilter

iptables的四个表

• filter
  过滤规则表， 根据预定义的规则过滤符合条件的数据包，是默认的table。

• nat
  地址转换规则表，主要用来进行源地址与目的地址的IP或者端口转换。

• mangle
  修改数据标记位规则表

• Raw
  连接跟踪

iptables的五个chain

• INPUT：与进入本机的数据有关的规则

• OUTPUT：出去本机的数据有关的规则

• FORWARD：与数据包转发有关的规则

• PREROUTING：在路由判断之前要进行的规则

• POSTROUTING：在路由判断之后要进行的规则

iptables表格与链相关性

链和表之间的关系见上图，这么理解吧，链就是五个特定位置的hook function，这些hook function可以通过对应的表去写入规则。

如：
PREROUTING可以用到nat和mangle表
INPUT可以用到filter和mangle表

---

iptables应用

命令格式：

iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-targetoptions]

-t table：指明表类型
SUBCOMMAND：子命令，主要分为查询、链管理、规则管理
chain：指明链
-j：指明要执行的动作

1、查询

iptables [-t tables] [-vn] [-L]

-t：指明查询的表，如果省略则默认显示filter表
-v：列出详细信息
-vv：更详细的信息
-n：不进行IP与hostname的反查，用ip显示
-L：列出当前table的规则
--line-numbers：显示规则号
-x： exactly，显示计数器结果的精确值，而非单位转换后的易读

例子：

[root@CentOS6A ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1035 89161 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2        1    84 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1    52 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
5      259 27598 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 931 packets, 76385 bytes)
num   pkts bytes target     prot opt in     out     source               destination     

#INPUT、FORWARD、OUTPUT这3条链，当前只有INPUT的filter表定义了5条规则。

2、链管理

-N： new, 自定义一条新的规则链
-X： delete，删除自定义的空的规则链
-P： Policy，设置默认策略；对filter表中的链而言，其默认策略有：
            ACCEPT：接受
            DROP：丢弃
-E：重命名自定义链；引用计数不为0的自定义链不能够被重命名，也不能被删除

• 默认策略
  当数据包不在我们设置的规则内，则该数据包的通过与否，以policy的设置为准。
  例：

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

默认策略

3、规则管理

规则管理

指明规则在链表的位置+匹配条件+动作

-A： append，追加
-I： insert, 插入，要指明插入至的规则编号，默认为第一条
-D： delete，删除
     (1) 指明规则序号
     (2) 指明规则本身
-R： replace，替换指定链上的指定规则编号
-F： flush，清空指定的规则链
-Z： zero，置零
      iptables的每条规则都有两个计数器
      (1) 匹配到的报文的个数
      (2) 匹配到的所有报文的大小之和

匹配条件

• 基本匹配条件：

-s, --source address[/mask][,...]：源IP地址或范围
-d, --destination address[/mask][,...]：目标IP地址或范围
-p, --protocol protocol：指定协议，可使用数字如0（all）
        protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp,mh or “all“ 参看：/etc/protocols
-i, --in-interface name：报文流入的接口；只能应用于数据报文流入环节，只应用于INPUT、 FORWARD、 PREROUTING链
-o, --out-interface name：报文流出的接口；只能应用于数据报文流出的环节，只应用于FORWARD、 OUTPUT、 POSTROUTING链

• 扩展匹配条件
  需要加载扩展模块（/usr/lib64/xtables/*.so），方可生效