iptables规则表及规则链及语法

一、Linux防火墙基础

1、Linux包过滤防火墙

netfilter：Linux2.4.x引入了一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换（NAT）和基于协议类型的连接跟踪成为了可能。位于Linux内核中的包过滤功能体系，称为Linux防火墙的“内核态”。
iptables：与最新的3.5版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。iptables位于/sbin/iptables，是用来管理防火墙规则的工具。iptables称为Linux防火墙的“用户态”。

2、包过滤原理

包过滤主要是在网络层，针对IP数据包。包过滤主要体现在对包内的IP地址、端口等信息的处理上。

二、iptables

iptables其实并不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的“安全框架”中，这个“安全框架”才是真正的防火墙，这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架。netfilter位于内核空间。iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架。netfilter/iptables组成的Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换等功能。
iptables是一个基于命令行的防火墙工具，它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时，iptables会查找其对应的匹配规则。如果找不到，iptables在作用是区分不同功能的规则，并且存储这些规则。iptables的结构是由表组成，而tables是由链组成，链又是由具体的规则组成。因此我们在编写iptables规则时，要先指定表，再指定链。tables的作用是区分不同功能的规则，并且存储这些表。

1、安装与配置

CentOS 7之后系统默认使用Firewalld防火墙，这里如果要使用iptables需要进行安装并停用Firewalld防火墙。

2、规则链

基于防火墙策略设置的各种防护规则，防火墙规则的执行顺序认为从前到后依次执行、遇到匹配的规则就不在向下检查，如果遇到不匹配的规则则会继续向下进行。

3、规则表

4、匹配流程

三、iptables语法

1、语法构成

2、常见控制类型

3、常见选项

4、永久性保存修改的规则

5、提供状态化链接