iptables的結構：

iptables由上而下，由Tables，Chains，Rules組成。

一、iptables的表tables與鏈chains

iptables有Filter, NAT, Mangle, Raw四種內建表：

1. Filter表

Filter是iptables的默認表，它有以下三種內建鏈(chains)：

INPUT鏈– 處理來自外部的數據。

OUTPUT鏈– 處理向外發送的數據。

FORWARD鏈– 將數據轉發到本機的其他網卡設備上。

2. NAT表

NAT表有三種內建鏈：

PREROUTING鏈– 處理剛到達本機并在路由轉發前的數據包。它會轉換數據包中的目標IP地址（destination ip address），通常用于DNAT(destination NAT)。

POSTROUTING鏈– 處理即將離開本機的數據包。它會轉換數據包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

OUTPUT鏈– 處理本機產生的數據包。

3. Mangle表

Mangle表用于指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈（chains）：

• PREROUTING

• OUTPUT

• FORWARD

• INPUT

• POSTROUTING

4. Raw表

Raw表用于處理異常，它具有2個內建鏈：

PREROUTING chain

OUTPUT chain

5.小結

二、IPTABLES 規則(Rules)

規則的關鍵知識點：

Rules包括一個條件和一個目標(target)

如果滿足條件，就執行目標(target)中的規則或者特定值。

如果不滿足條件，就判斷下一條Rules。

目標值（Target Values）

在target里指定的特殊值：

ACCEPT– 允許防火墻接收數據包

DROP– 防火墻丟棄包

QUEUE– 防火墻將數據包移交到用戶空間

RETURN– 防火墻停止執行當前鏈中的后續Rules，并返回到調用鏈(the calling chain)中。

查看各表中的規則命令

# iptables -t filter --list

查看mangle表：

# iptables -t mangle --list

查看NAT表：

# iptables -t nat --list

查看RAW表：

# iptables -t raw --list

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則：

# iptables --list
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
3    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
6    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
9    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
10   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

以上輸出包含下列字段：

• num – 指定鏈中的規則編號
  target – 前面提到的target的特殊值prot – 協議：tcp, udp, icmp等source – 數據包的源IP地址destination – 數據包的目標IP地址

三、清空所有iptables規則

在配置iptables之前，你通常需要用iptables --list命令或者iptables-save命令查看有無現存規則，因為有時需要刪除現有的iptables規則：

iptables --flush
或者
iptables -F

下面命令是清除iptables nat表規則。

iptables -t nat -F

四、永久生效

當你刪除、添加規則后，這些更改并不能永久生效，這些規則很有可能在系統重啟后恢復原樣。如下配置讓配置永久生效。

# 保存iptables規則
service iptables save

# 重啟iptables服務
service iptables stop
service iptables start

查看當前規則：

cat  /etc/sysconfig/iptables

五、追加iptables規則

可以使用iptables -A命令追加新規則，其中-A表示Append。因此，新的規則將追加到鏈尾。
一般而言，最后一條規則用于丟棄(DROP)所有數據包。如果你已經有這樣的規則了，并且使用-A參數添加新規則，那么就是無用功。

1.語法

iptables -A chain firewall-rule

• -A chain – 指定要追加規則的鏈

• firewall-rule – 具體的規則參數

2.描述規則的基本參數

以下這些規則參數用于描述數據包的協議、源地址、目的地址、允許經過的網絡接口，以及如何處理這些數據包。這些描述是對規則的基本描述。

-p 協議（protocol）  指定規則的協議，如tcp, udp, icmp等，可以使用all來指定所有協議。  如果不指定-p參數，則默認是all值。這并不明智，請總是明確指定協議名稱。  可以使用協議名(如tcp)，或者是協議值（比如6代表tcp）來指定協議。映射關系請查看/etc/protocols  還可以使用–protocol參數代替-p參數-s 源地址（source）  指定數據包的源地址  參數可以使IP地址、網絡地址、主機名  例如：-s 192.168.1.101指定IP地址  例如：-s 192.168.1.10/24指定網絡地址  如果不指定-s參數，就代表所有地址  還可以使用–src或者–source-d 目的地址（destination）  指定目的地址  參數和-s相同  還可以使用–dst或者–destination-j 執行目標（jump to target）  -j代表”jump to target”  -j指定了當與規則(Rule)匹配時如何處理數據包  可能的值是ACCEPT, DROP, QUEUE, RETURN  還可以指定其他鏈（Chain）作為目標-i 輸入接口（input interface）  -i代表輸入接口(input interface)  -i指定了要處理來自哪個接口的數據包    這些數據包即將進入INPUT, FORWARD, PREROUTE鏈  例如：-i eth0指定了要處理經由eth0進入的數據包  如果不指定-i參數，那么將處理進入所有接口的數據包  如果出現! -i eth0，那么將處理所有經由eth0以外的接口進入的數據包  如果出現-i eth+，那么將處理所有經由eth開頭的接口進入的數據包  還可以使用–in-interface參數-o 輸出（out interface）  -o代表”output interface”  -o指定了數據包由哪個接口輸出  這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈  如果不指定-o選項，那么系統上的所有接口都可以作為輸出接口  如果出現! -o eth0，那么將從eth0以外的接口輸出  如果出現-i eth+，那么將僅從eth開頭的接口輸出  還可以使用–out-interface參數

3.描述規則的擴展參數

對規則有了一個基本描述之后，有時候我們還希望指定端口、TCP標志、ICMP類型等內容。

–sport 源端口（source port）針對 -p tcp 或者 -p udp  缺省情況下，將匹配所有端口  可以指定端口號或者端口名稱，例如”–sport 22″與”–sport ssh”。  /etc/services文件描述了上述映射關系。  從性能上講，使用端口號更好  使用冒號可以匹配端口范圍，如”–sport 22:100″  還可以使用”–source-port”–-dport 目的端口（destination port）針對-p tcp 或者 -p udp  參數和–sport類似  還可以使用”–destination-port”-–tcp-flags TCP標志 針對-p tcp  可以指定由逗號分隔的多個參數  有效值可以是：SYN, ACK, FIN, RST, URG, PSH  可以使用ALL或者NONE-–icmp-type ICMP類型 針對-p icmp  –icmp-type 0 表示Echo Reply  –icmp-type 8 表示Echo

4.追加規則的完整實例：僅允許SSH服務

本例實現的規則將僅允許SSH數據包通過本地計算機，其他一切連接（包括ping）都將被拒絕。

# 1.清空所有iptables規則
iptables -F

# 2.接收目標端口為22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# 3.拒絕所有其他數據包
iptables -A INPUT -j DROP

六、更改默認策略

上例的例子僅對接收的數據包過濾，而對于要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行為。

1. 默認鏈策略

/!警告：請勿在遠程連接的服務器、虛擬機上測試！
當我們使用-L選項驗證當前規則是發現，所有的鏈旁邊都有policy ACCEPT標注，這表明當前鏈的默認策略為ACCEPT：

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

這種情況下，如果沒有明確添加DROP規則，那么默認情況下將采用ACCEPT策略進行過濾。除非：
a)為以上三個鏈單獨添加DROP規則：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默認策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕！！如果你嚴格按照上一節的例子配置了iptables，并且現在使用的是SSH進行連接的，那么會話恐怕已經被迫終止了！
為什么呢？因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然服務器能接收數據，但是無法發送數據：

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination

七、配置應用程序規則

盡管5.4節已經介紹了如何初步限制除SSH以外的其他連接，但是那是在鏈默認策略為ACCEPT的情況下實現的，并且沒有對輸出數據包進行限制。本節在上一節基礎上，以SSH和HTTP所使用的端口為例，教大家如何在默認鏈策略為DROP的情況下，進行防火墻設置。在這里，我們將引進一種新的參數-m state，并檢查數據包的狀態字段。

1.SSH

# 1.允許接收遠程主機的SSH請求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# 2.允許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

• -m state:啟用狀態匹配模塊（state matching module）

• –-state:狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時，狀態字段為NEW；建立連接后數據包的狀態字段都是ESTABLISHED

• –sport 22:sshd監聽22端口，同時也通過該端口和客戶端建立連接、傳送數據。因此對于SSH服務器而言，源端口就是22

• –dport 22:ssh客戶端程序可以從本機的隨機端口與SSH服務器的22端口建立連接。因此對于SSH客戶端而言，目的端口就是22

如果服務器也需要使用SSH連接其他遠程主機，則還需要增加以下配置：

# 1.送出的數據包目的端口為22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# 2.接收的數據包源端口為22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH類似：

# 1.允許接收遠程主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

# 1.允許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

3.完整的配置

# 1.刪除現有規則
iptables -F

# 2.配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 3.允許遠程主機進行SSH連接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 4.允許本地主機進行SSH連接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

配置轉發端口示例

iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38.X25.X.X02 
iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE

NAT規則實戰舉例：

需求

把本地的mysql 3306端口映射出去變成63306，外面連接的語句是

mysql -uroot -p'password' -h xxxxx -P 63306

注：當訪問63306的時候，會自動去請求3306，然后返回數據。

實現

先允許數據包轉發

echo 1 >/proc/sys/net/ipv4/ip_forwardsysctl -w net.ipv4.conf.eth0.route_localnet=1sysctl -w net.ipv4.conf.default.route_localnet=1

nat規則

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1

注：這是允許所有外來的IP訪問，慎用。

我們來做個ip限制，限制單個來源IP

iptables -t nat -R PREROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306iptables -t nat -R POSTROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1

注：這是只給外網的192.168.40.154連接， 其他的都連不上，

修改規則(4代表編號, --line-number可查看對應編號, -s 指定來源IP)。

查看nat規則

iptables -L -t nat --line-number

刪除nat規則

iptables -t nat -D POSTROUTING 1-A 追加規則-->iptables -A INPUT-D 刪除規則-->iptables -D INPUT 1(編號)-R 修改規則-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現行規則，順序不變(1是位置)-I 插入規則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規則，原本位置上的規則將會往后移動一個順位-L 查看規則-->iptables -L INPUT 列出規則鏈中的所有規則-N 新的規則-->iptables -N allowed 定義新的規則