iptables防火墙

主要作用

iptables软件防火墙,主要用来过滤数据包,阻挡非法或者***型的数据包进入网站或着公司等等网络,当然也可以控制出站数据包。

iptables常用语法

iptables –t  [type]  -?  [PREROUTING|POSTROUTING|FORWARD|INPUT|OUTPUT] 匹配规则 –j [TOS|SAME|RETURN|TTL|ACCEPT|DROP|REJECT|DNAT|SNAT|ROUTE|LOG|ULOG OPTION
-t (type):指定表类型(也就是人们常说的4表)
    Nat     转发类型
    Raw     高级功能,网址过滤
    Filter  定义过滤表规则类型
    Mangel  数据包修改(QOS),用于实现服务质量

选表后的参数

#类型定义后,开始使用参数定义
    –A append   添加
    –D delete       删除
    –i insert       插入
    –R replease     替换
    –L list         显示表清单
    –F flush        刷新
    –P policy       定义规则链中的默认目标
    –p proctol      指定协议名
    –s source       指定要匹配的数据包源IP地址
    –d destination  指定匹配的数据包目标IP地址
    –j jump     指定要跳转的目标
    –i interface        指定数据包进入本机的网络接口
    –o out-interface        指定数据包要离开本机所使用的网络接口

指定链(也就是人们常说的5链)

INPUT 链:处理输入数据包
OUTPUT链:处理输出数据包
FORWARD链:处理转发数据包
PREROUTING链:用于目标地址转换(DNAT)
POSTROUTING链:用于源地址转换(SNAT)

1.3.4 处理动作

Accept:接收数据包
Drop丢弃数据包
Redirect重定向映射透明代理
SNAT 源地址转换
DNAT 目标地址转换
MASQUERADE IP伪装(NAT),用于ADSL
LOG 日志记录

1.3.5 实例

#清除已有的规则
Iptables –F
Iptables –X
Iptables –Z

开放指定端口
#允许本地回环访问
Iptables –I INPUT –s 127.0.0.1 –d 11.0.0.11 –j ACCEPT
#允许已建立的或相关联的通行
Iptables –A INPUT –m state –state ESTABLEHED,RELATED –j ACCEPT
#允许所有本机向外的访问
Iptable –A OUTPUT –j ACCEPT
#允许访问22端口,80,21等等类似
Iptables –A INPUT –p tcp –dport 22 –j ACCEPT
#禁止其他未允许的规则访问
Iptables –A INPUT –j reject
Iptables –A FORWARD –j REJECT
屏蔽IP
#屏蔽单个IP的命令
Iptables –I INPUT –s 123.45.6.7 –j DROP
#封整个段即IP
Iptables –I INPUT –s 123.0.0.0/8 –j DROP
#封二级IP段
Iptables –I INPUT –s 123.54.0.0/16 –j DROP
#封三级IP段
Iptables –I INPUT –s 123.54.6.0/24 –j DROP
查看已添加的iptables规则
Iptables –L –n –v

显示iptables规则序号进行指定规则删除
#将所有iptables以序号标记显示
Iptables –L –n –line-numbers

#删除指定序号,删除序号8的规则
Iptables –D INPUT 8