iptables指令详解

写在最前面：文章为指令详解，搜集网上资料并进行归纳。

参考文献1：https://blog.csdn.net/lvoelife/article/details/129101416

参考文献2：https://www.w3cschool.cn/linuxc/linuxc-6ghl3lgn.html

• 引言
• iptables的四表五链
  • 何为四表
  • 何为五链
  • iptables语法格式
• 规则的查看与清除
  • 查看规则
  • 添加规则
  • 修改规则
  • 删除规则
• 防火墙的备份与还原
• 几个实例

引言

iptables是Linux下的一个防火墙软件，可以用于设置、修改、删除防火墙规则。它的功能包括：过滤数据包、NAT、端口映射、限制连接数等等。

iptables的四表五链

正如我们在上文知道的，iptables是集成在Linux内核中的包过滤防火墙系统。

使用iptables可以添加、删除具体的过滤规则，它默认维护着 4 个表和 5 个链，所有的防火墙策略规则都被分别写入这些表与链中。

何为四表

四表是指iptables的功能，默认的iptable规则表如下：

• filter表(过滤规则表)：控制数据包是否允许进出及转发，可以控制的链路有INPUT、FORWARD和OUTPUT。
• nat表(地址转换规则表)：控制数据包中地址转换，可以控制的链路有PREROUTING、INPUT、OUTPUT和POSTROUTING。
• mangle表(修改数据标记位规则表)：修改数据包中的原数据，可以控制的链路有PREROUTING、INPUT、OUTPUT、FORWARD和POSTROUTING。
• raw表(跟踪数据表规则表)：控制nat表中连接追踪机制的启用状况，可以控制的链路有 PREROUTING、OUTPUT。

何为五链

五链是指内核中控制网络的NetFilte 定义的5个规则链。

每个规则表中包含多个数据链：

• INPUT：入站数据过滤
• OUTPUT：出站数据过滤
• FORWARD：转发数据过滤
• PREROUTING：路由前过滤
• POSTROUTING：路由后过滤

防火墙规则需要写入到这些具体的数据链中，Linux防火墙的过滤框架，如下图所示：

• 可以看出，如果是外部主机发送数据包给防火墙本机，数据将会经过PREROUTING链与INPUT链。
• 如果是防火墙本机发送数据包到外部主机，数据将会经过OUTPUT链与 POSTROUTING链。
• 如果防火墙作为路由负责转发数据，则数据将经过PREROUTING链、FORWARD链以 POSTROUTING链。

iptables语法格式

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

各参数的含义如下：

• -t：指定需要维护的防火墙规则表filter、nat、mangle或raw。在不使用-t时则默认使用filter表
• COMMAND：子命令，定义对规则的管理
• chain：指明链表
• CRETIRIA：匹配参数
• ACTION：触发动作

iptables命令(COMMAND）的常用选项，以及各自的功能，如下图所示：

iptables命令的常用匹配参数，以及各自的功能，如下图所示

iptables命令的触发动作，以及各自的功能，如下图所示

内核会按照顺序依次检查iptables防火墙规则，如果发现有匹配的规则目录，则立刻执行相关动作，停止继续向下查找规则目录。

如果所有的防火墙规则都未能匹配成功，则按照默认策略处理。

使用-A 项添加防火墙规则会将该规则追加到整个链的最后，而使用-I选项添加的防火墙规则则会默认插入到链中作为第一条规则。

规则的查看与清除

查看规则

使用如下命令查看规则：iptables -nvL

• -L表示查看当前表的所有规则，默认查看的是filter表，如果要查看nat表，可以加上-t nat参数。
• -n表示不对IP地址进行反查，添加此参数显示速度将会加快。
• -v表示输出详细信息，包含通过该规则的数据包数量、总字节数以及相应的网络接口

添加规则

有两个参数为添加规则，它们分别是-A和-I：

• -A是添加到规则的末尾
• -I可以插入到指定位置，没有指定位置的话，默认插入到规则的首部。

修改规则

需要使用-R参数来修改规则。

比如把添加在第6行规则的DROP修改为ACCEPT，首先使用su命令切换为root用户，再于终端页面输入如下命令：iptables -R INPUT 6 -s 192.168.2.6 -j ACCEPT

删除规则

删除规则有两种方法，但都必须使用-D参数

iptables -D INPUT 6 -s 192.168.2.6 -j ACCEPT：删除添加的第6行的规则

有时需要删除的规则较长，删除时需要写一大串的代码，这样比较容易写错，这时可以先使用-line-number找出该条规则的行号，再通过行号删除规则。

iptables -D INPUT 6

防火墙的备份与还原

默认的iptables防火墙规则会立刻生效，但如果不保存，当计算机重启后所有的规则都会丢失。

因而，对防火墙规则进行及时保存的操作是非常必要的。

iptables软件包提供了两个非常有用的工具，我们可以使用这两个工具处理大量的防火墙规则。

这两个工具分别如下：

1. iptables-save ddd
2. iptables-restoreddd

几个实例

https://www.w3cschool.cn/linuxc/linuxc-6ghl3lgn.html 最下面

万变不离其宗，按照使用规则一步步匹配，对应参数即可。