[原创首发]Linux防火墙iptables设置基础 - 无忧启动论坛

iptables是针对Linux防火墙 netfilter的管理配置工具。在进行iptables防火墙设置前，必须打开系统内核的IP转发功能，使系统成为路由器。在Red Hat中有以下两种方法实现：
1.修改内核变量ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_froward
2.修改脚本/etc/sysconfig/network
将FROWARD_IPV4=false 改为 FROWARD_IPV4=true
一、数据包流经netfilter防火墙的路径
1.流入本机数据包的路径：
所属表          mangle       nat                   mangle nat    filter
网络数据包 à PREROUTING à PREROUTING à 路由选择 à INPUT à INPUT à INPUT à 本地处理进程
2.流出本机数据包的路径：
所属表          mangle filter                mangle       nat
本地处理进程 à OUTPUT à OUTPUT à 路由选择 à POSTROUTING à POSTROUTING à 外部网络
3.流经本机转发的数据包的路径：
所属表    mangle    nat                   mangle filter    mangle       nat
A端网络 à PREROUTING à PREROUTING à 路由选择 à FORWARD à FORWARD à POSTROUTING à POSTROUTING à B端网络

注：①.路径上某表链规则匹配数据包并进行ACCEPT、DROP、REJECT操作时，ACCEPT使数据包直接到达目的地，DROP和REJECT则当场丢弃数据包，该数据包不会在后续路径上再出现，故会影响其它表的操作。
②.PREROUTING和POSTROUTING链只对请求连接的包进行操作，对属于该连接的后续包，不予比对规则，只按已确定的规则自动进行操作，因此建议不要在此链上作过滤操作，否则将漏掉对后续包的过滤。
二、iptables指令的基本格式：
<iptables> [-t table] < COMMAND>  [chains] [rule-matcher] [ -j target ]
   <指令>   [指定表] <指定操作命令> [指定链]  [指定匹配规则]  [指定目标动作]
注：<>括起来的为必设项，[]括起来的为可设项。iptables指令要求严格区分大小写！
三、iptables指令的语法规则要素：
1、netfilter表(Table)
netfilter的表操作是以-t或--table<table>来指定的，未指定时默认为filte表。共有以下三种表：
   ①.Filter表 (过滤表)
   ②.Nat表 (网络地址转换表)
   ③.Mangle表 (数据包处理表)
2、常用操作命令(Command)
-A 或--append 在所选的链尾加入一条或多条规则。
-D 或--delete 从所选的链中删除一条或多条匹配的规则。
-R 或--replace 在所选的链中替换一条匹配的规则，需指定规则中的数字。
-I 或--insert 按给出的规则号在所选的链中插入一条规则。
-L 或--list 列出指定链的全部规则，如未指定链，则列出所有链的全部规则。
-F 或--flush 清除指定链和表中的全部规则，如未指定链，则所有链都将被清。
-N 或--new-chain 以给定的名字创建一条新的用户自定义链，不能与已有的链同名。
-X 或--delete-chain 删除指定的用户自定义链，必须保证链中的规则不在使用才能删除，若未指定链，则删除所有用户自定义链。
-P 或--policy 为内置链指定默认规则(链政策)。用户自定义链没有默认规则，其默认规则是规则链中的最后一条规则，用-L命令时它显示在第一行。
-E 或--rename-chain 根据用户给出的名字对指定的自定义链进行重命名，该命令不影响Table的结构。
-C 或--check 检查给定的包是否与指定的规则相匹配。
-Z 或--zero 将指定链中所有规则的数据包(PKTS)和字节(byte)计数器清零。该计数器用来计算同一数据包出现的次数，是过滤阻断式攻击不可或缺的工具。
-h 或--help 给出当前命令语法的简短说明。
3、链(Chains)
①.INPUT链处理输入包的规则链。
②.OUTPUT链处理输出包的规则链。
③.FORWARD链处理转发包的规则链。
④.PREROUTING链对到达且未经路由判断之前的包进行处理的规则链。
⑤.POSTROUTING链对发出且经过路由判断之后的包进行处理的规则链。
⑥.用户自定义链是由filter表内置链来调用的，它是针对调用链获取的数据包进行处理的规则链。
注：①.Filter表有INPUT、OUTPUT、FORWARD和自定义四种链形式。
②.Nat表有OUTPUT、PREROUTING、POSTROUTING三种链形式。
③.Mangle表有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五种链形式。
4、常用匹配规则(rule Matcher)
-c或--set-counters 重新设置规则的计数器,可指定PKTS和BYTES选项来设置计数器计数规则。
-s 或--source [!] address[/mask] 指定匹配规则的源主机名称、源IP地址或源IP地址范围。
--sport 或--source-port [!] port[:port] 指定匹配规则的源端口或源端口范围，可用端口号，也可用/etc/services文件中的名字, 端口范围格式xxx:yyy。
-d 或--destination [!]address[/mask] 指定匹配规则的目的地址或目的地址范围。
--dport 或--destination-port [!] port[:port] 指定匹配规则的目的端口或目的端口范围，可用端口号，也可用/etc/services文件中的名字, 端口范围格式xxx:yyy。
-i 或--in-interface [!]interface name[+] 指定匹配规则的对内网络接口名，默认则符合所有接口，可制定暂未工作的接口，待其工作后才起作用，该选项只对INPUT、FROWARD和PREROUTING链是合法的。
-o 或—out-interface[!]interface name[+] 指定匹配规则的对外网络接口名，默认则符合所有接口，可制定暂未工作的接口，待其工作后才起作用，该选项只对OUTPUT、FROWARD和POSTROUTING链是合法的。
-j 或--jump 指定规则的目标即动作或跳转，如未指定则此规则无任何效果。
-p 或--protocol [!] protocol 指定匹配规则的通讯协议，如：tcp、udp、icmp、all，如未指定则匹配所有通讯协议。
--icmp-type [!]typename 指定匹配规则的ICMP消息类型,选项后需有一个icmp名称类型、数字类型（如3）、或一对用/号分隔的数字类型和编码（如3/3），可用以下命令查看有效的icmp类型名表： iptables -p icmp -h
-f  规则应用于IP数据包第二分片以后的分片。
--tcp-option 这个选项后需接一个数字，用来匹配tcp选项等于该数字的数据包。如果需要检查tcp选项，那些tcp表头部完整的数据包就会被自动删除。
--tcp-flags 此选项后需接2个参数，以对TCP标志进行筛选。第一个参数表示屏蔽（MASK），它可用来指定数据包中需要检查的TCP标志，而第二个参数表示需要设置的标准，可用的标志包括：SYN、ACK、FIN、RST、URG、PSH、ALL和NONE等，如果指定多个标志，则每个标志间需以逗号分隔。以下范例表示所有标志都要检查，但只有SYN和ACK被设置。
例：iptables –A INPUT –protocol tcp –tcp-flags ALL SYN,ACK –j DENY
-l 在系统日志/var/log/messages中记录与该规则匹配的数据包。
-v 详细输出。
-n 当显示时,不对IP地址执行DNS查找。
[!] -y -y表明tcp握手中的连接请求标志位SYN；!-y表示对该请求的响应。
[!]-syn 指定仅仅匹配设置了SYN位，清除了ACK、FIN位的TCP包，该参数仅针对TCP协议类型使用。
-m -state 标记数据包。
注：“！”为逻辑非；接口名后跟“+”表示所有以此接口名开头的接口都会被匹配。
附：匹配条件扩展：
　TCP-----匹配源端口，目的端口，及tcp标记的任意组合，tcp选项等。
　UPD-----匹配源端口和目的端口