iptables详解（1）：命令参数解析

1、编辑配置网卡信息方法：

　　1.1 编辑配置文件：vim /etc/sysconfig/network-scripts/ifcfg-lo
　　1.2 nmtui命令：图形化配置
　　1.3 nm-connection-editor命令：图形化配置
　　1.4 桌面右上角图形化工具配置

2、IPTABLES---操作篇
　　2.1 动作：
　　　　1）允许 ACCEPT
　　　　2) 拒绝 REJECT #会在拒绝流量后再回复一条“您的信息已经收到，但是被扔掉了”信息，从而让流量发送方清晰地看到数据被拒绝的响应信息

　　　　3) 丢弃 DROP #直接将流量丢弃而且不响应
　　　　4）日志 LOG

【注意】考试红帽认证的时候，如果说要拒绝某个流量，那么就一定要使用REJECT。

【详细iptables参考这篇文档：http://www.zsythink.net/archives/1199】

　　2.2 命令：

-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址 IP/MASK，加叹号“!”表示除这个 IP 外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议，如 TCP、UDP、ICMP
-j 采用的动作，ACCEPT或者REJECT,DROP
--dport num 匹配目标端口号
--sport num 匹配来源端口号

【特别注意】使用 iptables 命令配置的防火墙规则默认会在系统下一次重启时失效，如果 想让配置的防火墙策略永久生效，还要执行保存命令：service iptables save

例子：

iptables -I INPUT -p icmp -s 192.168.232.137 -j ACCEPT
#在处理流入的数据包时，允许源IP地址192.168.232.137的主机通过icmp协议连接服务器。

iptables -I INPUT -p icmp -j REJECT
#拒绝所有以icmp协议流入的数据包。

iptables -I OUTPUT -p icmp -j REJECT
#拒绝本地所有以icmp协议出去的数据包。

iptables -D INPUT 1
#删除规则链中INPUT位置的第一条，既使用iptables -L查看规则链，找到INPUT位置，从上往下依次从１开始计数

【练习题】
（１）向INPUT规则链中添加拒绝所有人访问本机１２３４５端口的策略规则：
iptables -I INPUT -p tcp --dport 12345 -j REJECT

（２）向INPUT规则链中添加拒绝１９２.１６８.１０.５主机访问本机８０端口（ｗｅｂ服务）的策略规则：
iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT

（３）向INPUT规则链中添加拒绝所有主机访问本机１０００～１０２４端口的策略规则：
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT