IPTables 防火牆

基於NetFilter的包過濾防火牆

圖片參考朱雙印博客

規則鏈

• INPUT鏈 ：處理輸入數據包。
• OUTPUT鏈 ：處理輸出數據包。
• FORWARD鏈 ：處理轉發數據包。
• PREROUTING鏈 ：用於目標地址轉換（DNAT）。
• POSTOUTING鏈 ：用於源地址轉換（SNAT）。

規則表

• raw:定義一些高級功能，可配置鏈PREROUTING，OUTPUT
• filter:定義過濾規則，可配置鏈INPUT ，FORWARD ，OUTPUT
• nat:定義地址轉換，可配置鏈PREROUTING ，OUTPUT ，POSTROUTING
• mangle:修改報文數據，可配置鏈PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

命令行

iptables -nL [鏈] [-t filter(默認)/nat/raw/mangle] [--line]  #-n不反解析ip，-L列表

iptables -I INPUT [-t filter] -s 192.168.1.2 -j DROP  #丟棄指定IP的全部報文，-I表頭插入規則，-A表尾插入規則

iptables -D INPUT [-t filter] 3  #刪除Input鏈filter表中的3號規則

iptables -R INPUT [-t filter] 4 -s 192.168.1.3 -j ACCEPT  #修改4號規則

iptables-save > /etc/sysconfig/iptables  #持久化保存iptables規則更新
iptables-restore > /etc/sysconfig/iptables  #重載iptables規則