iptables

netfilter/iptables是表的容器，iptables包含表有：filter nat mangle raw

iptables 的表又是链的容器：链：input forward   output prerouting postrouting  filter表包括前三个链 nat表包含后三个链

mangle 包含所有的链

链是规则的容器：一条条过滤的语句

 iptables匹配规则是由上到下，若匹配到了（不管是接受还是拒绝）就不往下匹配了 若到最后也没有匹配到就用默认规则 

iptables -L -n 查看

iptables -F   清除

iptables -t filter|nat|mangle -A|D INPUT|FORWARD|OUTPUT -p tcp --dport 22 -j DROP|ACCEPT|REJECT #-A增加规则到链的结尾 -I增加规则到链的头部 -D删除

iptable -t fllter -I INPUT -i eth0 -s 192.168.1.1 -j DROP

iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 ! -s 10.0.0./24 -j DROP #-i 进的网络接口 -o 出的网络接口 -m multiport --dport 22:49

生产：

iptables -F 

iptables -X

iptables -Z

iptables -A INPUT  -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -P INPUT DROP#-P默认规则

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

允许合法的进入：

iptables -A INPUT -p all -s 10.0.0.1 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables-save  将内在中的规则保存到/etc/sysconfig/firewalld

nat 共享上网

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.7#etho  10.0.07是外网接口和ip

外网端口映射为内网端口:

iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.7:8080