Iptables

感觉防火墙可能不能完美的保护主机，比如ping措施，这时，就需要使用iptables来进行配置。

使用Iptables的内置firewall机制，是通过kernel中的netfilter        模块实现的，Linux kernel使用netfilter对进出数据包进行过滤，netfilter由三个规则表组成，每个表又有许多内建的链组成。使用iptables命令可以对这些表链进行操作，如添加、删除、列出规则等。

Netfilter 规则表 --- filter nat managle

filter用于路由网络数据包。是默认的，也就是说如果没有指定-t参数，当创建一条新规则时，他默认存放到该表内。

INPUT 网络数据包流向服务器

OUTPUT 网络数据包从服务器流出

FORWARD 网络数据包经服务器路由

nat 用于NAT表 Net Address Translation 是一种IP地址转换方法

PREROUTING 网络数据包到达服务器时可以被修改

POSTROUTING 网络数据包在即将从服务器发出时可以被修改

managle 用于修改网络数据包的表

配置iptables

当数据包进入服务器时，Linux kernel会查找对应的链，直到找到一条规则与数据包匹配。如果该规则的target是ACCEPT，就会跳过剩下的规则，数据包会继续被传送。如果该规则target是DROP，该数据包会被拦截掉，kernel不会在参考其他规则。

Note：如果从始至终都没有一条规则与数据包匹配，而且表末尾有没有drop all规则，那么该数据包会被accept。Cisco则相反，在表末尾会因含deny all的规则。

1）     iptables命令选项

iptables [-t iptables ] command option parameter target

-A 在链尾添加一条规则

-C 将规则添加到用户定义链之前对其进行检查

-D 从链中删除一条规则

-E重命名用户定义的链，不改变链本身

-F 清空链，删除链上的所有规则

-I在链中插入一条规则

-L 列出某个链上的规则，如：iptables –L INPUT 列出INPUT链上的规则

-N 创建一个新链

-P 定义某个链的默认策略

-R替换链上的某条规则

-X 删除某个用户相关的链

-Z 将所有表的所有链的字节和数据包统计数器清零

2）     Iptables的命令参数

-p protocol

应用于数据包的协议类型，可以是TCP UDP ICMP 或 ALL ! 也可以

当使用-p tcp时，还可使用其他可选项，一边允许进一步定义规则，选项如下：

-sport 允许指定匹配数据包源端口 port1:port2表示port1和port2之间的所有端口

-dport目的端口，和sport雷同

当使用-p !udp 时，也有特殊的选项供使用

-sport和-dport与-p tcp相同，只不过用于UDP包

使用-p icmp参数时，只有一个选项可用

-icmp-type 允许在过滤规则中指定icmp类型

-s source 指定数据包包的源地址，该参数后跟一个IP地址，一个带有sub-net mask的网络地址，或者一个主机名（不建议使用主机名）

-d destination 数据包的目的地址 同-s

-j jump 用于指定一个target，告诉规则将该匹配的数据包发送到该target。Target可以是ACCEPT，DROP，QUEIE，PETURN。如果没有-j，那么不会对数据包进行任何操作，只是将计数器加1

-I in-interface 对于INPUT FOREARD PREROUTING链，指定数据包到达服务器时所使用的端口

-o out-interface 对于OUTPUT FORWARD POSTROUTING链,该参数指定数据包离开服务器时使用的端口

3）Iptables的命令target

创建规则最后一步是指定iptables对数据包的操作。只要某一规则匹配该数据包，就不会再有别的规则的操作。内建的target有：ACCEPT 允许数据包通过 ，到达目的地

DROP 拒绝数据包通过，丢弃该包

QUEUE 将数据包发送回到用户应用程序处理

RETURN 不再根据当前链的其他规则来检查数据包，而是直接返回，继续被发送到其目的地址，或下一个链。

2、示例：

允许www

Iptables –A INPUT –p tcp –dport 80 –j ACCEPT

该规则被调价到filter表的INPUT链，允许目的端口为80的数据包通过

在内部接口上允许DHCP

Iptables –A INPUT –I eth0 –p tcp - - sport - - dport 67 ACCEPT

 Iptables –A INPUT –I eth0 –p udp - - sport - - dport 67 ACCEPT

同时允许tcp和udp协议

3、保存和修改iptables

使用iptables-save 可将现行的iptables规则保存

恢复iptables

使用iptables-restore可从配置文档恢复iptables表到现行iptables表。