iptables简介

一、IPtables的实质

iptables其实不是真正的防火墙，我们可以将它理解成一个客户端代理，通过这个代理，我们将安全的设定执行到对应的“安全框架”中，这个“安全框架”才是真正的防火墙，即netfilter。

所以，netfilter才是防火墙真正的安全框架，它位于内核空间中。 而iptables只是一个命令行工具，位于用户空间中，我们利用这个工具操作真正的框架。

netfilter/iptables 组成Linux平台下的包过滤防火墙，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

 

二、iptables基础

iptables是按照规则来办事的，规则就是网络管理员预定义的条件，当数据包的头符合一定的条件时，便会依照对应的规则处理这个数据包。这些规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目标地址、传输协议(如TCP、UDP、ICMP等)和

服务类型(如HTTP、FTP、SMTP)等。

当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如：放行(accept)、拒绝(reject)和丢弃(drop)等。

 

三、查看、添加和删除规则的基本命令

1.查看filter表

iptables -L -n --line-number //--line-number可以显示规则序号，在删除的时候比较方便 

2.删除iptables规则

iptables -D INPUT 3  //删除input的第3条规则 
iptables -t nat -D POSTROUTING 1  //删除nat表中postrouting的第一条规则
iptables -F INPUT   //清空 filter表INPUT所有规则
iptables -F    //清空所有规则
iptables -t nat -F POSTROUTING   //清空nat表POSTROUTING所有规则  

3.添加iptables规则

iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT  //开放21端口 
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT  //只允许127.0.0.1访问6379端口
iptables -A INPUT -p TCP --dport 6379 -j REJECT  //其他ip访问6379端口全部拒绝