[TOC] ## 概述 iptables是運行在用戶空間的應用軟件，通過控制Linux內核netfilter模塊，來管理網絡數據包的處理和轉發 ## iptables的規則表和鏈： 表（tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用于實現包過濾，網絡地址轉換、包重構(修改)和數據跟蹤處理 鏈（chains）是數據包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一 條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據 該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定 義的默認策略來處理數據包  ## iptables命令的管理控制選項 ``` -A 在指定鏈的末尾添加（append）一條新的規則 -D? 刪除（delete）指定鏈中的某一條規則，可以按規則序號和內容刪除 -I? 在指定鏈中插入（insert）一條新的規則，默認在第一行添加 -R? 修改、替換（replace）指定鏈中的某一條規則，可以按規則序號和內容替換 -L? 列出（list）指定鏈中所有的規則進行查看 -E? 重命名用戶定義的鏈，不改變鏈本身 -F? 清空（flush） -N? 新建（new-chain）一條用戶自己定義的規則鏈 -X? 刪除指定表中用戶自定義的規則鏈（delete-chain） -P? 設置指定鏈的默認策略（policy） -Z 將所有表的所有鏈的字節和數據包計數器清零 -n? 使用數字形式（numeric）顯示輸出結果 -v? 查看規則表詳細信息（verbose）的信息 -V? 查看版本(version) -h? 獲取幫助（help） ``` ## 基本命令 ### 列出規則 ``` sudo iptables -L ``` ### 清空規則：清空某個鏈中的所有規則： ``` sudo iptables -F ``` ### 開啟相應的服務端口 打開22 端口 ``` iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 開啟80端口，因為web對外都是這個端口 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允許被ping iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已經建立的連接得讓它進來 ``` ### 阻止特定 IP ``` sudo iptables -A INPUT -s 192.168.1.100 -j DROP ``` ### 保存規則到配置文件中 ``` cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改動之前先備份，請保持這一優秀的習慣 iptables-save > /etc/sysconfig/iptables cat /etc/sysconfig/iptables ``` ### 端口映射 本機的 2222 端口映射到內網 虛擬機的22 端口 ``` iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222 -j DNAT --to-dest 192.168.188.115:22 ``` ### 阻止Windows蠕蟲的攻擊 ``` iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe" ``` ### 防止SYN洪水攻擊 ``` iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT ```