iptables用法-linux防火墙

防火墙

防火墙是公网和内网之间的一道屏障，可以保护数据的安全性。防火墙根据不同的策略而发挥不同的功能。防火墙策略可以基于流量的源目地址、端口号、协议、应用等来定制。流量和策略吻合则执行相应的处理。

Linux系统有多个防火墙管理工具，配置妥当其中的一个就ok。

iptables

早期的linux系统中，使用的是iptables防火墙管理服务来配置，还有大量企业在使用，因此，学还是要学的。

防火墙从上到下匹配策略规则，如果找到匹配项就执行相应操作，否则执行默认操作，如果默认通过，那么策略应该设置阻止的策略。如果默认阻止，策略应该设置通过的策略。

规则链根据数据包处理位置的不同进行分类：
在进入路由选择前处理数据包（PREROUTING）
处理流入的数据包（INPUT）
处理流出的数据包（OUTPUT）
处理转发的数据包（FORWARD）
在进行路由选择后处理数据包（POSTROUTING）

内网向外网发的包一般不用理会，所有着重点还是从外网流入的数据，也就是INPUT规则链。
对于匹配到的流量，有不同的动作，如：允许，拒绝，登记，和不理睬。也就是
ACCEPT：通过。
REJECT:拒绝后发送信息，让发送者得知自己的消息被拒绝了。
LOG：记录日志信息。
DROP：不理睬。

iptables常用参数

-P	设置默认策略
-F	清空规则链
-L	查看规则链
-A	在规则链的末尾加入新规则
-I num	在规则的头部加入新规则
-D num	删除一条规则
-s	匹配来源地址 IP/MASK,加叹号 ！ 表示除这个IP外
-d	匹配目标地址
-i 网卡名称	匹配从这块网卡流出的数据
-o 网卡名称	匹配从这块网卡流出的数据
-p	匹配协议，TCP，UDP，ICMP等
--dport num	匹配目标端口号
--sport num	匹配来源端口号

1. 看防火墙规则链

iptables -L

2. 清空已有的规则链

iptables -F

3. INPUT规则链策略设置为拒绝

iptables -P INPUT DROP

4. 向INPUT写入允许ICMP流量进入的策略规则

iptables -I INPUT -p icmp -j ACCEPT

5. 删除INPUT刚才的规则,并设置默认规则为允许

使用-F清空所有策略，使用-D可以删除一条指定的策略。
iptables -D INPUT 1
iptables -P INPUT ACCEPT

6. INPUT设置只允许指定网段的主机访问本机的22端口，拒绝其他主机的流量。

iptables -I INPUT -s 192.168.0.0/24 tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT
注意要把允许写在拒绝策略前面，否则所有的流量 都进不来。

7. INPUT写入拒绝所有人访问本机12345端口的策略规则

iptables -I INPUT -p tcp --dport 12345 -j REJECT
iptables -I INPUT -p udp --dport 12345 -j REJECT

8. INPUT添加拒绝192.168.0.107访问本机80端口

iptables -I INPUT -p tcp -s 192.168.0.107 --dport 80 -j REJECT

9. 向INPUT添加拒绝所有主机访问本机1000-1024端口的策略

iptables -I INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -I INPUT -p udp --dport 1000:1024 -j REJECT

总结：-j 一般就是跟策略REJECT或者ACCEPT
--dport就是目标的端口号，--sport就是来源的端口号
-A在末尾添加规则，-I在开头添加规则。
-s加上ip或者网段，-p后边跟协议。