IPTables 防火墙

基于NetFilter的包过滤防火墙

图片参考朱双印博客

规则链

• INPUT链 ：处理输入数据包。
• OUTPUT链 ：处理输出数据包。
• FORWARD链 ：处理转发数据包。
• PREROUTING链 ：用于目标地址转换（DNAT）。
• POSTOUTING链 ：用于源地址转换（SNAT）。

规则表

• raw:定义一些高级功能，可配置链PREROUTING，OUTPUT
• filter:定义过滤规则，可配置链INPUT ，FORWARD ，OUTPUT
• nat:定义地址转换，可配置链PREROUTING ，OUTPUT ，POSTROUTING
• mangle:修改报文数据，可配置链PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

命令行

iptables -nL [链] [-t filter(默认)/nat/raw/mangle] [--line]  #-n不反解析ip，-L列表

iptables -I INPUT [-t filter] -s 192.168.1.2 -j DROP  #丢弃指定IP的全部报文，-I表头插入规则，-A表尾插入规则

iptables -D INPUT [-t filter] 3  #删除Input链filter表中的3号规则

iptables -R INPUT [-t filter] 4 -s 192.168.1.3 -j ACCEPT  #修改4号规则

iptables-save > /etc/sysconfig/iptables  #持久化保存iptables规则更新
iptables-restore > /etc/sysconfig/iptables  #重载iptables规则