iptables基本管理

1-----iptables框架

1）iptables的4个表（区分大小写）：

iptables默认有4个表，nat表（地址转换表）、filter表（数据过滤表）、raw表（状态跟踪表）、mangle表（包标记表）。

2）iptables的5个链（区分大小写）：

INPUT链（入站规则）

OUTPUT链（出站规则）

FORWARD链（转发规则）

PREROUTING链（路由前规则）

POSTROUTING链（路由后规则）

2-------iptabels语法格式

[root@proxy~]# iptables  [-t 表名] 选项 [链名] [条件]  [ -j 目标操作]

[root@proxy~]# iptables -t  filter -I  INPUT  -p  icmp   -j  REJECT

[root@proxy~]# iptables  -t filter  -I INPUT  -p icmp-j ACCEPT

[root@proxy~]# iptables  -I  INPUT-p  icmp-j  REJECT

//可以不指定表，默认为filter表

//可以不指定链，默认为对应表的所有链

//如果没有找到匹配条件，则执行防火墙默认规则

//选项/链名/目标操作用大写字母，其余都小写

// ACCEPT：允许通过/放行

// DROP：直接丢弃，不给出任何回应

// REJECT：拒绝通过，必要时会给出提示

// LOG：记录日志，然后传给下一条规则

[root@proxy~]# iptables -t filter-A INPUT -p tcp -j ACCEPT

//追加规则至filter表中的INPUT链的末尾，允许任何人使用TCP协议访问本机

[root@proxy~]# iptables  -I INPUT  -p udp  -j ACCEPT

//插入规则至filter表中的INPUT链的开头，允许任何人使用UDP协议访问本机

[root@proxy~]# iptables  -I INPUT  2   -p icmp   -j ACCEPT

//插入规则至filter表中的INPUT链的第2行，允许任何人使用ICMP协议访问本机

[root@proxy~]# iptables  -nL INPUT//仅查看INPUT链的规则

[root@proxy~]# iptables   -L INPUT  --line-numbers  //查看规则，显示行号

[root@proxy~]# iptables  -D INPUT3   //删除filter表中INPUT链的第3条规则

[root@proxy~]# iptables    -F    //清空filter表中所有链的防火墙规则

[root@proxy~]# iptables   -I INPUT   -p tcp   --dport  80  -j REJECT

[root@proxy~]# iptables    -I INPUT   -s192.168.2.100   -j REJECT

[root@proxy~]# iptables    -I INPUT    -d  192.168.2.5   -p tcp  --dport   80   -j REJECT

[root@proxy~]# iptables   -I INPUT    -i eth0   -p tcp    --dport   80   -j REJECT

[root@proxy~]# iptables  -A INPUT -s  192.168.4.100   -j DROP

[root@proxy~]# iptables   -A INPUT   -s  192.168.2.0/24   -j DROP

[root@proxy~]# iptables   -A INPUT   -s  114.212.33.12  -p tcp--dport  22   -j REJECT

[root@proxy~]# service iptables save