iptables编写规则

命令格式：

 

[-t 表名]：该规则所操作的哪个表，可以使用filter、nat等，如果没有指定则默认为filter

-A：新增一条规则，到该规则链列表的最后一行
-I：插入一条规则，原本该位置上的规则会往后顺序移动，没有指定编号则为1
-D：从规则链中删除一条规则，要么输入完整的规则，或者指定规则编号加以删除
-R：替换某条规则，规则替换不会改变顺序，而且必须指定编号。
-P：设置某条规则链的默认动作
-L：查看当前规则

-n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。一般与-L一起用，写作-nL。（注意有顺序）

--line-numbers : 显示规则的行号

chain名：指定规则表的哪个链，如INPUT、OUPUT、FORWARD、PREROUTING等

2、常用封包比对参数：

-p, --protocol           (指定协议)
范例 iptables -A INPUT -p tcp             -p all   所有协议，  -p !tcp 去除tcp外的所有协议。

-s, --src, --source                  (指定源地址，指定源端口--sport)

例如： iptables -A INPUT -s 192.168.1.1

例如：-s 192.168.0.0/24，比对 IP 时可以使用 ! 运算子进行反向比对，

例如：-s ! 192.168.0.0/24。

-d, --dst, --destination           (指定目的地址，指定目的端口--dport)

例如： iptables -A INPUT -d 192.168.1.1

-i, --in-interface                      (指定入口网卡)      -i  eth+   所有网卡
例如： iptables -A INPUT -i eth0
例如：-i eth+ 表示所有的 ethernet 网卡，也以使用 ! 运算子进行反向比对，
例如：-i ! eth0。

-o, --out-interface                   (指定出口网卡)
例如： iptables -A FORWARD -o eth0

--sport, --source-port              (源端口)
例如： iptables -A INPUT -p tcp --sport 22
例如：--sport 22:80，表示从 22 到 80 端口之间都算是符合件，
如果要比对不连续的多个埠，则必须使用 --multiport 参数，详见后文。比对埠号时，可以使用 ! 运算子进行反向比对。

--dport, --destination-port     (目的端口)
例如： iptables -A INPUT -p tcp --dport 22
说明 用来比对封包的目的端口号，设定方式同上。

--tcp-flags                 (只过滤TCP中的一些包，比如SYN包，ACK包，FIN包，RST包等等)
例如： iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明  比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，
           第二部分则列举前述旗号中哪些有被设，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、
FIN（结束）、RST（重设）、URG（紧急）PSH（强迫推送） 等均可使用于参数中，除此之外还可以使用关键词 ALL 和 
NONE 进行比对。比对旗号时，可以使用 ! 运算子行反向比对。

--syn
例如： iptables -p tcp --syn
说明 用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp --tcp-flags SYN,
FIN,ACK SYN 的作用完全相同，如果使用 !运算子，可用来比对非要求联机封包。

-m multiport --source-port
例如： iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用 ! 
运算子进行反向比对。

-m multiport --destination-port
例如： iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号，设定方式同上。

 -m multiport --port
例如： iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明 这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。
注意：在本范例中，如果来源端口号为 80目的地埠号为 110，这种封包并不算符合条件。

--icmp-type
例如： iptables -A INPUT -p icmp --icmp-type 8
说明 用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。
请打 iptables -p icmp --help 来查看有哪些代码可用。
 

-m limit --limit

例如： iptables -A INPUT -m limit --limit 3/hour说明 用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。 除了每小时平均次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。 除了进行封数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水攻击法，导致服务被阻断。

--limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
说明 用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超
过 5 个（这是默认值），超过此上限的封将被直接丢弃。使用效果同上。

-m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
说明 用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting规则炼上，这是因为封包要送出到网后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到个网络接口去。

--mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
说明 用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最不可以超过 4294967296。

-m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
说明 用来比对来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 
root 或其它身分将敏感数据传送出，可以降低系统被骇的损失。可惜这个功能无法比对出
来自其它主机的封包。

-m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
说明 用来比对来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。

-m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
说明 用来比对来自本机的封包，是否为某特定行程所产生的，使用时机同上。

-m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
说明 用来比对来自本机的封包，是否为某特定联机（Session ID）的响应封包，使用时
机同上。

-m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明 用来比对联机状态，联机状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号（Session ID）无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机（重设联机或将联机重导向）。
RELATED 表示该封包是属于某个已经建立的联机，所建立的新联机。例如：FTP-DATA 联机必定是源自某个 FTP 联机。

          

<-j 动作>：处理数据包的动作，包括ACCEPT、DROP、REJECT、LOG等

DROP和REJEACCEPT 允许数据包通过
DROP 直接丢弃数据包，不给任何回应信息
REJECT 拒绝数据包通过，必要时会给数据发送端一个响应的信息。
LOG在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则

DROP和REJECT的区别：

“就好象骗子给你打电话，drop就是直接拒收。reject的话，相当于你还给骗子回个电话。”
其实对于到底是使用DROP还是REJECT，从很久以前开始就非常多的人提出这方面的疑问。REJECT其实就比DROP多返回一个ICMP错误信息包，两个策略各有优劣，简单总结如下：
DROP比REJECT好在节省资源，而且延缓黑客攻击的进度（因为不会给黑客返回任何有关服务器的信息）；坏在容易让企业的网络问题难以排查，而且在DDoS攻击的情况容易耗尽所有的带宽。
REJECT比DROP的好处在于容易诊断和调试网络设备或防火墙造成的问题；坏处上面也说了，你给骗子回个电话，相当于暴露了自己的服务器信息。
所以一般的建议是在上游防火墙中使用REJECT，在比较危险的面向外网的基础防火墙上，使用DROP要相对安全一些。