链表结构关系图：

五链：

规则链之间的顺序:

入站: PREROUTING→INPUT                  路由选择前→入站
出站:OUTPUT→POSTROUTING               出站→路由选择后
转发:PREROUTING→FORWARD→POSTROUTING  路由选择前→转发→路由选择后

不管是路由入站还是转发，都要选择路由选择前
不管是路由出站还是转发，都要选择路由选择后

三、iptables命令

1、语法结构

iptables [-t 表名] 选项&参数 [链名][匹配条件][-j 动作控制类型]
1

注意事项:
  不指定表名时，默认指filter表
  不指定链名时，默认指表内的所有链
  除非设置链的默认策略，否则必须指定匹配条件
  选项、链名、控制类型使用大写字母，其余均为小写

数据包的常见控制类型/动作类型：-j

2、iptables的选项参数及实例

选项及参数：

实例：

1、-t：指定查看raw表

iptables -t raw -L
1

2、-A \-s\-j：追加一条规则，使192.168.2.2禁止访问

iptables -A INPUT -s 192.168.2.2 -j REJECT
1

3、-I\-s\-j：插入一条规则，允许访问192.168.2.2

iptables -I INPUT -s 192.168.2.2 -j ACCEPT
1

4、-R\-s\-j：第一条规则，修改为丢弃192.168.2.2；将第二条prot的udp改为icmp并且开放

iptables -R INPUT 1 -s 192.168.2.2 -j DROP

iptables -R INPUT 2 -p icmp -j ACCEPT
1
2
3

5、-D：删除一条指定的规则

iptables -D INPUT 3
1

6、-L：查看防火墙规则，后可以指定链

#查看所有防火墙规则
iptables -L 

#指定链：查看入站防火墙规则
iptables -L INPUT
1
2
3
4
5

7、-F：清空防火墙规则 ；也可以指定清空某一个表的所有规则

iptables -F

iptables -t nat -F
1
2
3

8、-n：以数字形式显示；要和-L配合看

iptables -L -n
1

9、-v：已更详细的方式查看规则信息

iptables -L -n -v
1

10、–line-numbers或–line：显示规则编号；要和-L配合看

iptables -L --line-numbers

iptables -L --line
1
2
3

四、iptables规则的匹配类型

1、通用匹配
  可直接使用，不依赖与其他条件或扩展
  包括网络协议、IP地址、网络接口等条件

2、隐含匹配
  要求以特定的协议匹配作为前提
  包含端口、TCP标记、ICMP类型等条件

3、显式匹配
  要求以“-m扩展模块”的形式明确指出类型
  包括多端口、MAC地址、IP范围、数据包状态等条件

常用管理选项汇总表：

1、通用匹配

常见的通用匹配条件：
  协议匹配：-p 协议名
  地址匹配：-s 源地址、-d 目的地址
  接口匹配：-i 入站网卡、-o 出站网卡

1.1、协议匹配

协议匹配：-p 协议名

允许所有的TCP协议进入

iptables -A INPUT -p tcp -j ACCEPT
1

除了icmp协议其他协议都丢弃

iptables -I FORWARD ! -p icmp -j DROP
1

1.2、地址匹配

地址匹配：-s 源地址、-d 目的地址

允许访问ip地址192.168.2.2

iptables -I INPUT -s 192.168.2.2 -j ACCEPT
1

丢弃192.168.1.0/24网段的ip

iptables -I INPUT -s 192.168.1.0/24 -j DROP
1

访问地址将地址转发到目标地址“192.168.2.22”并且开放

iptables -A FORWARD -d 192.168.2.22 -j ACCEPT
1

1.3、接口匹配

接口匹配：-i 入站网卡、-o 出站网卡

将eth1的网卡在入站时丢弃

iptables -I INPUT -i eth1 -j DROP
1

将eth1的网卡在出站时丢弃

iptables -I OUTPUT -o eth1 -j DROP
1

2、隐含匹配

常见的隐含匹配条件：
  端口匹配：-p来指定，–sport 源端口、–dport目的端口
  TCP匹配：–tcp-flags 检查范围 被设置的标记
  ICMP匹配：–icmp-type ICMP类型

2.1、端口匹配

端口匹配：-p来指定，–sport 源端口、–dport目的端口

将源网段设置为udp协议且目标端口为53，并开启地址转发
将目标网段设置为udp协议且源端口为53，并开启地址转发

iptables -A FORWARD -s 192.16.2.2/24 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.16.2.2/24 -p udp --sport 53 -j ACCEPT
1
2
3

将源网段“192.16.2.0/24”设置为tcp协议且目标端口为53，并开启地址转发
将目标网段“192.16.2.0/24”设置为tcp协议且源端口为53，并开启地址转发

iptables -A FORWARD -s 192.16.2.0/24 -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.16.2.0/24 -p tcp --sport 53 -j ACCEPT
1
2
3

开放TCP协议且目标端口为22，允许进入
开放TCP协议且目标端口为20-21，允许进入

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
1
2
3

2.2、TCP匹配

TCP匹配：–tcp-flags 检查范围 被设置的标记

指定eth1网卡，port设置为tcp协议，检查范围为SYN、RST、ACK，监测到的都丢弃

指定eth1网卡，port设置为tcp协议，除了检查范围中的SYN、RST、ACK，其他都可以进入

iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP

iptables -I INPUT -i eth1 -p tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
1
2
3

2.3、ICMP匹配

ICMP匹配：–icmp-type ICMP类型

常见的 icmp 类型
  8  Echo request——回显请求（Ping 请求）
  0  Echo Reply——回显应答（Ping 应答）
  3  错误回显

获取帮助：iptables -p icmp -h

3、显式匹配

常见的显式匹配条件：
  多端口匹配：-m multiport --sports | --dports 端口列表
  IP范围匹配：-m iprange --src-range IP范围
  MAC地址匹配：-m mac --mac-source MAC地址
  状态匹配：-m state --state 连接状态

3.1、多端口匹配

多端口匹配：-m multiport --sports | --dports 端口列表

允许22、25、80、110、143端口进入并开启tcp协议

iptables -I INPUT -p tcp -m multiport --dport 22,25,80,110,143 -j ACCEPT
1

3.2、IP范围匹配

IP范围匹配：-m iprange --src-range IP范围

允许192.168.1.100-192.168.1.110这个范围的ip进入并设置tcp协议

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.100-192.168.1.110 -j ACCEPT
1

3.3、MAC地址匹配

MAC地址匹配：-m mac --mac-source MAC地址

只要mac地址是00:0c:29:c2:83:32的都丢弃

iptables -A FORWARD -m mac --mac-source 00:0c:29:c2:83:32 -j DROP
1

3.4、状态匹配

状态匹配：-m state --state 连接状态

常见的连接状态：
  NEW：新连接，与任何连接无关
  ESTABLISHED：响应请求或已建立连接的
  RELATED：与已连接有相关性的，如 FTP 数据连接

相关文章

🍎【Linux】iptables之防火墙概述及规则匹配+实例（1）

---

🍌【Linux】iptables之防火墙的应用及案例、策略、备份与还原（2）

---

🍐【Linux】firewall-cmd之防火墙简介及常用命令+实例