iptables防火墙     (适用于Linux centos7以前的版本)    配置文件路径 /etc/sysconfig/iptables

(准确的来说 iptables 不是真正的“防火墙”)

可以用来管理IP信息包过滤和防火墙配置

 先给大家讲讲这些专业名词的排序(个人这样认为)

1,(Netfileter)    容器  是表的容器,假如他是"楼",那么表则是"楼"里面的一层  

2,(tables)    表    表是链的容器,同上,他是"层",链则是"房子"。(表不止一个)

3,(chains)   链    是规则(Policys)的容器、链属于表。接上,链是"房间",每一层都可能会有房子

4,(policy)    规则  比较容易理解、规则(policy)属于链(chains)。就是iptables一系列过滤信息和具体操作方法、可以理解为该如何设计这个房间之后住起来才会舒服。

(Netfileter基本属于最上层,下面则是,表,链,规则)

 

网上随意找了个拓扑图,还挺容易理解的

nginx麒麟内网前端发布镜像 麒麟 iptables_TCP

 

 

 

iptables工具会根据你设定的规则来决定数据包的去留,基本就是,只要你想就能让“任何东西”进不来
防火墙的规则有先后顺序,只要遇到匹配的规则则会直接通过,不继续向下执行
重点: 匹配上了拒接规则也是匹配。因此不在继续向下进行、这一点大家要注意、

(INPUT是一个规则链)   

-A  (append) 添加、追加,   列如:iptables -A INPUT
追加规则至规则链 (这里是INPUT规则里)


-j     处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝
(-j 一般在规则的最后一条)
例:iptables -A INPUT -p tcp --dport 6379 -j ACCEPT  
                   ( 端口6379接受tcp协议)
    iptables -A INPUT -p 协议 --dport 端口  -j REJECT      
                    (某端口拒绝了某协议)


-D  (delete)删除    删除规则
例:iptables -D INPUT --dport 80 -j REJECT      (dport是目标端口)
或者是直接后面追加 规则编号
例:iptables -D 1

 -R( replace)
例:iptables -R INPUT  1  -s 192.168.0.1 -j DROP
取代 现行规则,规则被取代后并不会改变顺序。(1是位置)
后面追加的则是新的规则

-l (insert)
例:iptables -l INPUT 3 --dport 80 -j ACCEPT
插入一个规则,输入规则的位置数(这里是3)输入后会让原有规则向后移动一位,(原有规则变成4自己变成3)

-L (list)
例: iptables -L INPUT
列出某规则链中的所有规则

-F(flush)
列: iptables -F INPUT
删除某规则链(这里是INPUT规则链)中的所有规则

-Z (zero)
列: iptables -Z INPUT
将分包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式(用于限制同一数据包的访问数量,过滤违规访问)

-N (new chain新建)
例:iptables -N allowed
定义新的规则链

-X (delete chain)
例:iptables -X allowed
删除某一个规则链

-P (policy)
例:iptables -P INPUT DROP
定义过滤政策。也就是未符合过滤条件之封包,预设的处理方式。

-E(rename chain)
例:iptables -E allowed disallowed
修改某自定规则链的名称

 

nginx麒麟内网前端发布镜像 麒麟 iptables_nginx麒麟内网前端发布镜像_02

 

 

nginx麒麟内网前端发布镜像 麒麟 iptables_TCP_03

 

 

 

 

常用封包对比参数(我称它为第二选项)

举例:iptables -A INPUT -p tcp

-p (protocol) 指定协议
例:iptables -A INPUT -p tcp  (-p all 所有协议)(-p !tcp 去除tcp之外的所有协议)

-s (src  source)      (指定源地址,指定源端口--sport)
例:iptables -A INPUT -s 192.168.1.1
用来比对封包的来源 IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,
例:-s 192.168.0.0/24,比对 IP 时可以使用 ! 运算子进行反向比对,
例:-s ! 192.168.0.0/24

-d (dst  destination)   (指定目的地址,指定目的端口--dport)
例:iptables -A INPUT -d 192.168.1.1
用来比对封包的目的地 IP,设定方式同上。

-i (in interface)     (指定入口网卡)   -i  eth+   所有网卡
例: iptables -A INPUT -i eth0
说明 用来比对封包是从哪片网卡进入,可以使用通配字符 + 来做大范围比对,
例:-i eth+ 表示所有的 ethernet 网卡,也以使用
 ! 运算子进行反向比对,
例:-i ! eth0。


-o(out  interface)    (指定出口网卡)
例: iptables -A FORWARD -o eth0
说明 用来比对封包要从哪片网卡送出,设定方式同上。


--sport   (source  port)              (源端口)
例: iptables -A INPUT -p tcp --sport 22
用来比对封包的来源端口号,可以比对单一埠,或是一个范围,
例:--sport 22:80, 表示从 22 到 80 端口之间都算是符合件,
如果要比对不连续的多个埠,则必须使用  --multiport 参数(添加多个不连接的端口,不使用则是添加连续的端口),比对埠号时,可以使用 ! 运算子进行反向比对。 


--dport  (destination-port)     (目的端口)
例:iptables -A INPUT -p tcp --dport 22
说明 用来比对封包的目的端口号,设定方式同上。


--tcp-flags                                  (只过滤TCP中的一些包,比如SYN包,ACK包,FIN包,RST包等等)
例: iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
比对 TCP 封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,
第二部分则列举前述旗号中哪些有被设,未被列举的旗号必须是空的。TCP 状态旗号包 括:SYN(同步)、ACK(应答)、
FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 
NONE 进行比对。比对旗号时,可以使用 ! 运算子行反向比对。


--syn
例: iptables -p tcp --syn
用来比对是否为要求联机至 TCP 封包,与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算子,可用来比对非要求联机封包。


-m multiport --source-port
例如: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号,一次最多可以比对 15 个埠,可以使用 ! 
运算子进行反向比对。
参数  -m multiport --destination-port
例如: iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号,设定方式同上。
参数  -m multiport --port
例如: iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明 这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。
注意:在本范例中,如果来源端口号为 80目的地埠号为 110,这种封包并不算符合条件。


--icmp-type
例: iptables -A INPUT -p icmp --icmp-type 8
用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。
输入  iptables -p icmp --help 来查看有哪些代码可用。


-m limit --limit
例:iptables -A INPUT -m limit --limit 3/hour
说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是
否超过一次 3 个封包。 除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,
默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行封数量的
比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,并避免大面积洪水

--limit-burst
例:iptables -A INPUT -m limit --limit-burst 5
用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超
过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。



-m mac --mac-source
例:iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting规则炼上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到个网络接口去。


--mark
例:iptables -t mangle -A INPUT -m mark --mark 1
用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。


-m owner --uid-owner
例:iptables -A OUTPUT -m owner --uid-owner 500
说明 用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 
root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出
来自其它主机的封包。
-m owner --gid-owner
例:iptables -A OUTPUT -m owner --gid-owner 0
用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上
-m owner --pid-owner
例:iptables -A OUTPUT -m owner --pid-owner 78
用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上


-m owner --sid-owner
例:iptables -A OUTPUT -m owner --sid-owner 100
说明 用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时,同上


-m state --state
例:iptables -A INPUT -m state --state RELATED,ESTABLISHED
用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。
RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。例如:FTP-DATA 联机必定是源自某个 FTP 联机。

多使用几遍,常用的也就记住了,没必要全部记得很清楚,大概了解一下就能看得懂--help了


东西很多,慢慢理解就可以  加油!