iptables防火牆可以用於建立過濾(filter)與NAT規則。所有Linux發行版都能使用iptables，因此理解如何配置 iptables將會幫助你更有效地管理Linux防火牆。如果你是第一次接觸iptables，你會覺得它很複雜，但是一旦你理解iptables的工 作原理，你會發現其實它很簡單。

首先介紹iptables的結構：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。如下圖所示。

圖: IPTables Table, Chain, and Rule Structure

一、iptables的表與鏈

iptables具有Filter, NAT, Mangle, Raw四種內建表：

1. Filter表

Filter表示iptables的預設表，因此如果你沒有自定義表，那麼就預設使用filter表，它具有以下三種內建鏈：

• INPUT鏈– 處理來自外部的資料。
• OUTPUT鏈– 處理向外傳送的資料。
• FORWARD鏈– 將資料轉發到本機的其他網絡卡裝置上。

2. NAT表

NAT表有三種內建鏈：

• PREROUTING鏈– 處理剛到達本機並在路由轉發前的資料包。它會轉換資料包中的目標IP地址（destination ip address），通常用於DNAT(destination NAT)。
• POSTROUTING鏈– 處理即將離開本機的資料包。它會轉換資料包中的源IP地址（source ip address），通常用於SNAT（source NAT）。
• OUTPUT鏈– 處理本機產生的資料包。

3. Mangle表

Mangle表用於指定如何處理資料包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈：

• PREROUTING
• OUTPUT
• FORWARD
• INPUT
• POSTROUTING

4. Raw表

Raw表用於處理異常，它具有2個內建鏈：

• PREROUTING chain
• OUTPUT chain

5.小結

下圖展示了iptables的三個內建表：

圖: IPTables 內建表

二、IPTABLES 規則(Rules)

牢記以下三點式理解iptables規則的關鍵：

• Rules包括一個條件和一個目標(target)
• 如果滿足條件，就執行目標(target)中的規則或者特定值。
• 如果不滿足條件，就判斷下一條Rules。

目標值（Target Values）

下面是你可以在target裡指定的特殊值：

• ACCEPT– 允許防火牆接收資料包
• DROP– 防火牆丟棄包
• QUEUE– 防火牆將資料包移交到使用者空間
• RETURN– 防火牆停止執行當前鏈中的後續Rules，並返回到呼叫鏈(the calling chain)中。

如果你執行iptables –list你將看到防火牆上的可用規則。下例說明當前系統沒有定義防火牆，你可以看到，它顯示了預設的filter表，以及表內預設的input鏈, forward鏈, output鏈。

# iptables -t filter –list
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

檢視mangle表：

# iptables -t mangle –list

檢視NAT表：

# iptables -t nat –list

檢視RAW表：

# iptables -t raw –list

!注意：如果不指定-t選項，就只會顯示預設的filter表。因此，以下兩種命令形式是一個意思：

# iptables -t filter –list
(or)
# iptables –list

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則：

# iptables –list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

以上輸出包含下列欄位：

• num – 指定鏈中的規則編號
  target – 前面提到的target的特殊值
  prot – 協議：tcp, udp, icmp等
  source – 資料包的源IP地址
  destination – 資料包的目標IP地址

三、清空所有iptables規則

在配置iptables之前，你通常需要用iptables –list命令或者iptables-save命令檢視有無現存規則，因為有時需要刪除現有的iptables規則：

iptables –flush
或者
iptables -F

這兩條命令是等效的。但是並非執行後就萬事大吉了。你仍然需要檢查規則是不是真的清空了，因為有的linux發行版上這個命令不會清除NAT表中的規則，此時只能手動清除：

iptables -t NAT -F

四、永久生效

當你刪除、新增規則後，這些更改並不能永久生效，這些規則很有可能在系統重啟後恢復原樣。為了讓配置永久生效，根據平臺的不同，具體操作也不同。下面進行簡單介紹：

1.Ubuntu

首先，儲存現有的規則：

iptables-save > /etc/iptables.rules

然後新建一個bash指令碼，並儲存到/etc/network/if-pre-up.d/目錄下：

#!/bin/bash
iptables-restore < /etc/iptables.rules

這樣，每次系統重啟後iptables規則都會被自動載入。

！注意：不要嘗試在.bashrc或者.profile中執行以上命令，因為使用者通常不是root，而且這隻能在登入時載入iptables規則。

2.CentOS, RedHat

# 儲存iptables規則
service iptables save

# 重啟iptables服務
service iptables stop
service iptables start

檢視當前規則：

cat /etc/sysconfig/iptables

五、追加iptables規則

可以使用iptables -A命令追加新規則，其中-A表示Append。因此，新的規則將追加到鏈尾。

一般而言，最後一條規則用於丟棄(DROP)所有資料包。如果你已經有這樣的規則了，並且使用-A引數新增新規則，那麼就是無用功。

1.語法

iptables -A chain firewall-rule

• -A chain – 指定要追加規則的鏈
• firewall-rule – 具體的規則引數

2.描述規則的基本引數

以下這些規則引數用於描述資料包的協議、源地址、目的地址、允許經過的網路介面，以及如何處理這些資料包。這些描述是對規則的基本描述。

-p 協議（protocol）

• 指定規則的協議，如tcp, udp, icmp等，可以使用all來指定所有協議。
• 如果不指定-p引數，則預設是all值。這並不明智，請總是明確指定協議名稱。
• 可以使用協議名(如tcp)，或者是協議值（比如6代表tcp）來指定協議。對映關係請檢視/etc/protocols
• 還可以使用–protocol引數代替-p引數

-s 源地址（source）

• 指定資料包的源地址
• 引數可以使IP地址、網路地址、主機名
• 例如：-s 192.168.1.101指定IP地址
• 例如：-s 192.168.1.10/24指定網路地址
• 如果不指定-s引數，就代表所有地址
• 還可以使用–src或者–source

-d 目的地址（destination）

• 指定目的地址
• 引數和-s相同
• 還可以使用–dst或者–destination

-j 執行目標（jump to target）

• -j代表”jump to target”
• -j指定了當與規則(Rule)匹配時如何處理資料包
• 可能的值是ACCEPT, DROP, QUEUE, RETURN，MASQUERADE
• 還可以指定其他鏈（Chain）作為目標
• 注：MASQUERADE，地址偽裝，算是snat中的一種特例，可以實現自動化的snat（詳情見上一篇文章）。

-i 輸入介面（input interface）

• -i代表輸入介面(input interface)
• -i指定了要處理來自哪個介面的資料包
• 這些資料包即將進入INPUT, FORWARD, PREROUTE鏈
• 例如：-i eth0指定了要處理經由eth0進入的資料包
• 如果不指定-i引數，那麼將處理進入所有介面的資料包
• 如果出現!-i eth0，那麼將處理所有經由eth0以外的介面進入的資料包
• 如果出現-i eth+，那麼將處理所有經由eth開頭的介面進入的資料包
• 還可以使用–in-interface引數

-o 輸出（out interface）

• -o代表”output interface”
• -o指定了資料包由哪個介面輸出
• 這些資料包即將進入FORWARD, OUTPUT, POSTROUTING鏈
• 如果不指定-o選項，那麼系統上的所有介面都可以作為輸出介面
• 如果出現!-o eth0，那麼將從eth0以外的介面輸出
• 如果出現-i eth+，那麼將僅從eth開頭的介面輸出
• 還可以使用–out-interface引數

3.描述規則的擴充套件引數

對規則有了一個基本描述之後，有時候我們還希望指定埠、TCP標誌、ICMP型別等內容。

–sport 源埠（source port）針對 -p tcp 或者 -p udp

• 預設情況下，將匹配所有埠
• 可以指定埠號或者埠名稱，例如”–sport 22″與”–sport ssh”。
• /etc/services檔案描述了上述對映關係。
• 從效能上講，使用埠號更好
• 使用冒號可以匹配埠範圍，如”–sport 22:100″
• 還可以使用”–source-port”

–-dport 目的埠（destination port）針對-p tcp 或者 -p udp

• 引數和–sport類似
• 還可以使用”–destination-port”

-–tcp-flags TCP標誌 針對-p tcp

• 可以指定由逗號分隔的多個引數
• 有效值可以是：SYN, ACK, FIN, RST, URG, PSH
• 可以使用ALL或者NONE

-–icmp-type ICMP型別 針對-p icmp

• –icmp-type 0 表示Echo Reply
• –icmp-type 8 表示Echo

4.追加規則的完整例項：僅允許SSH服務

本例實現的規則將僅允許SSH資料包通過本地計算機，其他一切連線（包括ping）都將被拒絕。

# 1.清空所有iptables規則
iptables -F

# 2.接收目標埠為22的資料包
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

# 3.拒絕所有其他資料包
iptables -A INPUT -j DROP

六、更改預設策略

上例的例子僅對接收的資料包過濾，而對於要傳送出去的資料包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行為。

1. 預設鏈策略

/!\警告：請勿在遠端連線的伺服器、虛擬機器上測試！

當我們使用-L選項驗證當前規則是發現，所有的鏈旁邊都有policy ACCEPT標註，這表明當前鏈的預設策略為ACCEPT：

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

這種情況下，如果沒有明確新增DROP規則，那麼預設情況下將採用ACCEPT策略進行過濾。除非：

a)為以上三個鏈單獨新增DROP規則：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改預設策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕！！如果你嚴格按照上一節的例子配置了iptables，並且現在使用的是SSH進行連線的，那麼會話恐怕已經被迫終止了！

為什麼呢？因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然伺服器能接收資料，但是無法傳送資料：

# iptables -L
Chain INPUT(policy DROP)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere

Chain FORWARD(policy DROP)
target prot opt source destination

Chain OUTPUT(policy DROP)
target prot opt source destination

七、配置應用程式規則

儘管5.4節已經介紹瞭如何初步限制除SSH以外的其他連線，但是那是在鏈預設策略為ACCEPT的情況下實現的，並且沒有對輸出資料包進行限 制。本節在上一節基礎上，以SSH和HTTP所使用的埠為例，教大家如何在預設鏈策略為DROP的情況下，進行防火牆設定。在這裡，我們將引進一種新的 引數-m state，並檢查資料包的狀態欄位。

1.SSH

# 1.允許接收遠端主機的SSH請求
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

# 2.允許傳送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

• -m state:啟用狀態匹配模組（state matching module）
• –-state:狀態匹配模組的引數。當SSH客戶端第一個資料包到達伺服器時，狀態欄位為NEW；建立連線後資料包的狀態欄位都是ESTABLISHED
• –sport 22:sshd監聽22埠，同時也通過該埠和客戶端建立連線、傳送資料。因此對於SSH伺服器而言，源埠就是22
• –dport 22:ssh客戶端程式可以從本機的隨機埠與SSH伺服器的22埠建立連線。因此對於SSH客戶端而言，目的埠就是22

如果伺服器也需要使用SSH連線其他遠端主機，則還需要增加以下配置：

# 1.送出的資料包目的埠為22
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

# 2.接收的資料包源埠為22
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH類似：

# 1.允許接收遠端主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

# 1.允許傳送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

3.完整的配置

# 1.刪除現有規則
iptables -F

# 2.配置預設鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 3.允許遠端主機進行SSH連線
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 4.允許本地主機進行SSH連線
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

iptables命令是Linux上常用的防火牆軟體，是netfilter專案的一部分。可以直接配置，也可以通過許多前端和圖形介面配置。

語法

iptables(選項)(引數)

選項

-t<表>：指定要操縱的表；
-A：向規則鏈中新增條目；
-D：從規則鏈中刪除條目；
-i：向規則鏈中插入條目；
-R：替換規則鏈中的條目；
-L：顯示規則鏈中已有的條目；
-F：清楚規則鏈中已有的條目；
-Z：清空規則鏈中的資料包計算器和位元組計數器；
-N：建立新的使用者自定義規則鏈；
-P：定義規則鏈中的預設目標；
-h：顯示幫助資訊；
-p：指定要匹配的資料包協議型別；
-s：指定要匹配的資料包源ip地址；
-j<目標>：指定要跳轉的目標；
-i<網路介面>：指定資料包進入本機的網路介面；
-o<網路介面>：指定資料包要離開本機所使用的網路介面。

iptables命令選項輸入順序：

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網絡卡名> -p 協議名 <-s 源IP/源子網> --sport 源埠 <-d 目標IP/目標子網> --dport 目標埠 -j 動作

表名包括：

• raw：高階功能，如：網址過濾。
• mangle：資料包修改（QOS），用於實現服務質量。
• net：地址轉換，用於閘道器路由器。
• filter：包過濾，用於防火牆規則。

規則鏈名包括：

• INPUT鏈：處理輸入資料包。
• OUTPUT鏈：處理輸出資料包。
• PORWARD鏈：處理轉發資料包。
• PREROUTING鏈：用於目標地址轉換（DNAT）。
• POSTOUTING鏈：用於源地址轉換（SNAT）。

動作包括：

• accept：接收資料包。
• DROP：丟棄資料包。
• REDIRECT：重定向、對映、透明代理。
• SNAT：源地址轉換。
• DNAT：目標地址轉換。
• MASQUERADE：IP偽裝（NAT），用於ADSL。
• LOG：日誌記錄。

例項

清除已有iptables規則

iptables -F
iptables -X
iptables -Z

開放指定的埠

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #允許本地迴環介面(即執行本機訪問本機)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #允許已建立的或相關連的通行
iptables -A OUTPUT -j ACCEPT         #允許所有本機向外的訪問
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允許訪問22埠
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允許訪問80埠
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允許ftp服務的21埠
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允許FTP服務的20埠
iptables -A INPUT -j reject       #禁止其他未允許的規則訪問
iptables -A FORWARD -j REJECT     #禁止其他未允許的規則訪問

遮蔽IP

iptables -I INPUT -s 123.45.6.7 -j DROP       #遮蔽單個IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整個段即從123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即從123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即從123.45.6.1到123.45.6.254的命令是

檢視已新增的iptables規則

iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 191K   90M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
1499K  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
4364K 6351M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 6256  327K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0  

刪除已新增的iptables規則

將所有iptables以序號標記顯示，執行：

iptables -L -n --line-numbers

比如要刪除INPUT裡序號為8的規則，執行：

iptables -D INPUT 8

前提基礎：
1、當主機收到一個數據包後，資料包先在核心空間中處理，若發現目的地址是自身，則傳到使用者空間中交給對應的應用程式處理，若發現目的不是自身，則會將包丟棄或進行轉發。

2、iptables實現防火牆功能的原理是：在資料包經過核心的過程中有五處關鍵地方，分別是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING，稱為鉤子函式，iptables這款使用者空間的軟體可以在這5處地方寫規則，對經過的資料包進行處理，規則一般的定義為“如果資料包頭符合這樣的條件，就這樣處理資料包”。

3、iptables中定義有5條鏈，說白了就是上面說的5個鉤子函式，因為每個鉤子函式中可以定義多條規則，每當資料包到達一個鉤子函式時，iptables就會從鉤子函式中第一條規則開始檢查，看該資料包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該資料包；否則iptables將繼續檢查下一條規則，如果該資料包不符合鉤子函式中任一條規則，iptables就會根據該函式預先定義的預設策略來處理資料包

4、iptables中定義有表，分別表示提供的功能，有filter表（實現包過濾）、nat表（實現網路地址轉換）、mangle表（實現包修改）、raw表（實現資料跟蹤），這些表具有一定的優先順序：raw-->mangle-->nat-->filter

一條鏈上可定義不同功能的規則，檢查資料包時將根據上面的優先順序順序檢查

1、目的地址是本地，則傳送到INPUT，讓INPUT決定是否接收下來送到使用者空間，流程為①--->②;

2、若滿足PREROUTING的nat表上的轉發規則，則傳送給FORWARD，然後再經過POSTROUTING傳送出去，流程為： ①--->③--->④--->⑥

主機發送資料包時，流程則是⑤--->⑥

iptables安裝配置

linux一般預設都已經安裝iptables，只需要開啟服務即可

service iptables start //啟動

service iptables restart //重啟

service iptables stop //關閉

iptables規則書寫：

基本語法：iptables [-t 表] [操作命令] [鏈] [規則匹配器] [-j 目標動作]

PS：
1、目標地址轉換一般在PREROUTING鏈上操作
2、源地址轉換一般在POSTROUTING鏈上操作

儲存和恢復iptables規則

使用iptables-save可以儲存到特定檔案中

iptables-save >/etc/sysconfig/iptables_save

使用iptables-restore可以恢復規則

iptables-restore</etc/sysconfig/iptables_save

iptables的進階使用
1、limit限制流量：
-m limit --limit 1000/s #設定最大平均匹配速率
-m limit --limit-burst 15 #設定一開始匹配的最大資料包數量
-m limit --limit 5/m --limit-burst 15 #表示一開始能匹配的資料包數量為15個，每匹配到一個，limit-burst的值減1,所以匹配到15個時，該值為0,以後每過12s，limit-burst的值會加1,表示又能匹配1個數據包
例子：

iptables -A INPUT -i eth0 -m limit --limit 5/m --limit-burst 15 -j ACCEPT

iptables -A INPUT -i eth0 -j DROP

注意要點：

A、--limit-burst的值要比--limit的大

B、limit本身沒有丟棄資料包的功能，因此，需要第二條規則一起才能實現限速的功能

2、time ：在特定時間內匹配

例子：

iptables -A INPUT -i eth0 -m time --weekdays 1,2,3,4 -jACCEPT

iptables -A INPUT -i eth0 -j DROP

3、ttl：匹配符合規則的ttl值的資料包

例子：

iptables -A OUTPUT -m ttl --ttl-eq 100 -j ACCEPT

4、multiport：匹配離散的多個埠

例子：

iptables -A INPUT -m multiport --sports 22，80，8080 -j DROP

5、state：匹配指定的狀態資料包

例子：

iptables -A INPUT -m state --state NEW，ESTABLISHED -j ACCEPT

6、mark：匹配帶有指定mark值的資料包

例子：

iptables -t mangle -A INPUT -m mark --mark 1 -j DROP

7、mac：匹配特定的mac地址

例子：

iptables -A FORWARD -m mac --mac-source 00:0C:24:FA:19:80 -j DROP