文末準(zhǔn)備了一份Linux防火墻教程，需要的自取。

iptables的結(jié)構(gòu)：

iptables由上而下，由Tables，Chains，Rules組成。

一、iptables的表tables與鏈chains

iptables有Filter, NAT, Mangle, Raw四種內(nèi)建表：

1. Filter表

Filter是iptables的默認(rèn)表，它有以下三種內(nèi)建鏈(chains)：

INPUT鏈?– 處理來(lái)自外部的數(shù)據(jù)。

OUTPUT鏈?– 處理向外發(fā)送的數(shù)據(jù)。

FORWARD鏈?– 將數(shù)據(jù)轉(zhuǎn)發(fā)到本機(jī)的其他網(wǎng)卡設(shè)備上。

2. NAT表

NAT表有三種內(nèi)建鏈：

PREROUTING鏈?– 處理剛到達(dá)本機(jī)并在路由轉(zhuǎn)發(fā)前的數(shù)據(jù)包。它會(huì)轉(zhuǎn)換數(shù)據(jù)包中的目標(biāo)IP地址（destination ip address），通常用于DNAT(destination NAT)。

POSTROUTING鏈?– 處理即將離開(kāi)本機(jī)的數(shù)據(jù)包。它會(huì)轉(zhuǎn)換數(shù)據(jù)包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

OUTPUT鏈?– 處理本機(jī)產(chǎn)生的數(shù)據(jù)包。

3. Mangle表

Mangle表用于指定如何處理數(shù)據(jù)包。它能改變TCP頭中的QoS位。Mangle表具有5個(gè)內(nèi)建鏈（chains）：

• PREROUTING

• OUTPUT

• FORWARD

• INPUT

• POSTROUTING

Raw表用于處理異常，它具有2個(gè)內(nèi)建鏈：

PREROUTING chain

OUTPUT chain

5.小結(jié)

二、IPTABLES 規(guī)則(Rules)

規(guī)則的關(guān)鍵知識(shí)點(diǎn)：

Rules包括一個(gè)條件和一個(gè)目標(biāo)(target)

如果滿足條件，就執(zhí)行目標(biāo)(target)中的規(guī)則或者特定值。

如果不滿足條件，就判斷下一條Rules。

目標(biāo)值（Target Values）

在target里指定的特殊值：

ACCEPT?– 允許防火墻接收數(shù)據(jù)包

DROP?– 防火墻丟棄包

QUEUE?– 防火墻將數(shù)據(jù)包移交到用戶空間

RETURN?– 防火墻停止執(zhí)行當(dāng)前鏈中的后續(xù)Rules，并返回到調(diào)用鏈(the calling chain)中。

查看各表中的規(guī)則命令

# iptables -t filter --list

查看mangle表：

# iptables -t mangle --list

查看NAT表：

# iptables -t nat --list

查看RAW表：

# iptables -t raw --list

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規(guī)則：

# iptables --list
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
3    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
5    ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
6    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
8    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
9    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
10   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

以上輸出包含下列字段：

• num – 指定鏈中的規(guī)則編號(hào)
  target – 前面提到的target的特殊值prot – 協(xié)議：tcp, udp, icmp等source – 數(shù)據(jù)包的源IP地址destination – 數(shù)據(jù)包的目標(biāo)IP地址

三、清空所有iptables規(guī)則

在配置iptables之前，你通常需要用iptables --list命令或者iptables-save命令查看有無(wú)現(xiàn)存規(guī)則，因?yàn)橛袝r(shí)需要?jiǎng)h除現(xiàn)有的iptables規(guī)則：

iptables --flush
或者
iptables -F

下面命令是清除iptables nat表規(guī)則。

iptables -t nat -F

四、永久生效

當(dāng)你刪除、添加規(guī)則后，這些更改并不能永久生效，這些規(guī)則很有可能在系統(tǒng)重啟后恢復(fù)原樣。如下配置讓配置永久生效。

# 保存iptables規(guī)則
service iptables save

# 重啟iptables服務(wù)
service iptables stop
service iptables start

查看當(dāng)前規(guī)則：

cat  /etc/sysconfig/iptables

五、追加iptables規(guī)則

可以使用iptables -A命令追加新規(guī)則，其中-A表示Append。因此，新的規(guī)則將追加到鏈尾。
一般而言，最后一條規(guī)則用于丟棄(DROP)所有數(shù)據(jù)包。如果你已經(jīng)有這樣的規(guī)則了，并且使用-A參數(shù)添加新規(guī)則，那么就是無(wú)用功。

1.語(yǔ)法

iptables -A chain firewall-rule

• -A chain – 指定要追加規(guī)則的鏈

• firewall-rule – 具體的規(guī)則參數(shù)

2.描述規(guī)則的基本參數(shù)

以下這些規(guī)則參數(shù)用于描述數(shù)據(jù)包的協(xié)議、源地址、目的地址、允許經(jīng)過(guò)的網(wǎng)絡(luò)接口，以及如何處理這些數(shù)據(jù)包。這些描述是對(duì)規(guī)則的基本描述。

-p 協(xié)議（protocol）  指定規(guī)則的協(xié)議，如tcp, udp, icmp等，可以使用all來(lái)指定所有協(xié)議。  如果不指定-p參數(shù)，則默認(rèn)是all值。這并不明智，請(qǐng)總是明確指定協(xié)議名稱。  可以使用協(xié)議名(如tcp)，或者是協(xié)議值（比如6代表tcp）來(lái)指定協(xié)議。映射關(guān)系請(qǐng)查看/etc/protocols  還可以使用–protocol參數(shù)代替-p參數(shù)-s 源地址（source）  指定數(shù)據(jù)包的源地址  參數(shù)可以使IP地址、網(wǎng)絡(luò)地址、主機(jī)名  例如：-s 192.168.1.101指定IP地址  例如：-s 192.168.1.10/24指定網(wǎng)絡(luò)地址  如果不指定-s參數(shù)，就代表所有地址  還可以使用–src或者–source-d 目的地址（destination）  指定目的地址  參數(shù)和-s相同  還可以使用–dst或者–destination-j 執(zhí)行目標(biāo)（jump to target）  -j代表”jump to target”  -j指定了當(dāng)與規(guī)則(Rule)匹配時(shí)如何處理數(shù)據(jù)包  可能的值是ACCEPT, DROP, QUEUE, RETURN  還可以指定其他鏈（Chain）作為目標(biāo)-i 輸入接口（input interface）  -i代表輸入接口(input interface)  -i指定了要處理來(lái)自哪個(gè)接口的數(shù)據(jù)包    這些數(shù)據(jù)包即將進(jìn)入INPUT, FORWARD, PREROUTE鏈  例如：-i eth0指定了要處理經(jīng)由eth0進(jìn)入的數(shù)據(jù)包  如果不指定-i參數(shù)，那么將處理進(jìn)入所有接口的數(shù)據(jù)包  如果出現(xiàn)! -i eth0，那么將處理所有經(jīng)由eth0以外的接口進(jìn)入的數(shù)據(jù)包  如果出現(xiàn)-i eth+，那么將處理所有經(jīng)由eth開(kāi)頭的接口進(jìn)入的數(shù)據(jù)包  還可以使用–in-interface參數(shù)-o 輸出（out interface）  -o代表”output interface”  -o指定了數(shù)據(jù)包由哪個(gè)接口輸出  這些數(shù)據(jù)包即將進(jìn)入FORWARD, OUTPUT, POSTROUTING鏈  如果不指定-o選項(xiàng)，那么系統(tǒng)上的所有接口都可以作為輸出接口  如果出現(xiàn)! -o eth0，那么將從eth0以外的接口輸出  如果出現(xiàn)-i eth+，那么將僅從eth開(kāi)頭的接口輸出  還可以使用–out-interface參數(shù)

3.描述規(guī)則的擴(kuò)展參數(shù)

對(duì)規(guī)則有了一個(gè)基本描述之后，有時(shí)候我們還希望指定端口、TCP標(biāo)志、ICMP類型等內(nèi)容。

–sport 源端口（source port）針對(duì) -p tcp 或者 -p udp  缺省情況下，將匹配所有端口  可以指定端口號(hào)或者端口名稱，例如”–sport 22″與”–sport ssh”。  /etc/services文件描述了上述映射關(guān)系。  從性能上講，使用端口號(hào)更好  使用冒號(hào)可以匹配端口范圍，如”–sport 22:100″  還可以使用”–source-port”–-dport 目的端口（destination port）針對(duì)-p tcp 或者 -p udp  參數(shù)和–sport類似  還可以使用”–destination-port”-–tcp-flags TCP標(biāo)志 針對(duì)-p tcp  可以指定由逗號(hào)分隔的多個(gè)參數(shù)  有效值可以是：SYN, ACK, FIN, RST, URG, PSH  可以使用ALL或者NONE-–icmp-type ICMP類型 針對(duì)-p icmp  –icmp-type 0 表示Echo Reply  –icmp-type 8 表示Echo

4.追加規(guī)則的完整實(shí)例：僅允許SSH服務(wù)

本例實(shí)現(xiàn)的規(guī)則將僅允許SSH數(shù)據(jù)包通過(guò)本地計(jì)算機(jī)，其他一切連接（包括ping）都將被拒絕。

# 1.清空所有iptables規(guī)則
iptables -F

# 2.接收目標(biāo)端口為22的數(shù)據(jù)包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# 3.拒絕所有其他數(shù)據(jù)包
iptables -A INPUT -j DROP

六、更改默認(rèn)策略

上例的例子僅對(duì)接收的數(shù)據(jù)包過(guò)濾，而對(duì)于要發(fā)送出去的數(shù)據(jù)包卻沒(méi)有任何限制。本節(jié)主要介紹如何更改鏈策略，以改變鏈的行為。

1. 默認(rèn)鏈策略

/!\警告：請(qǐng)勿在遠(yuǎn)程連接的服務(wù)器、虛擬機(jī)上測(cè)試！
當(dāng)我們使用-L選項(xiàng)驗(yàn)證當(dāng)前規(guī)則是發(fā)現(xiàn)，所有的鏈旁邊都有policy ACCEPT標(biāo)注，這表明當(dāng)前鏈的默認(rèn)策略為ACCEPT：

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

這種情況下，如果沒(méi)有明確添加DROP規(guī)則，那么默認(rèn)情況下將采用ACCEPT策略進(jìn)行過(guò)濾。除非：
a)為以上三個(gè)鏈單獨(dú)添加DROP規(guī)則：

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默認(rèn)策略：

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕??！如果你嚴(yán)格按照上一節(jié)的例子配置了iptables，并且現(xiàn)在使用的是SSH進(jìn)行連接的，那么會(huì)話恐怕已經(jīng)被迫終止了！
為什么呢？因?yàn)槲覀円呀?jīng)把OUTPUT鏈策略更改為DROP了。此時(shí)雖然服務(wù)器能接收數(shù)據(jù)，但是無(wú)法發(fā)送數(shù)據(jù)：

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination

七、配置應(yīng)用程序規(guī)則

盡管5.4節(jié)已經(jīng)介紹了如何初步限制除SSH以外的其他連接，但是那是在鏈默認(rèn)策略為ACCEPT的情況下實(shí)現(xiàn)的，并且沒(méi)有對(duì)輸出數(shù)據(jù)包進(jìn)行限制。本節(jié)在上一節(jié)基礎(chǔ)上，以SSH和HTTP所使用的端口為例，教大家如何在默認(rèn)鏈策略為DROP的情況下，進(jìn)行防火墻設(shè)置。在這里，我們將引進(jìn)一種新的參數(shù)-m state，并檢查數(shù)據(jù)包的狀態(tài)字段。

1.SSH

# 1.允許接收遠(yuǎn)程主機(jī)的SSH請(qǐng)求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# 2.允許發(fā)送本地主機(jī)的SSH響應(yīng)
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

• -m state:?啟用狀態(tài)匹配模塊（state matching module）

• –-state:?狀態(tài)匹配模塊的參數(shù)。當(dāng)SSH客戶端第一個(gè)數(shù)據(jù)包到達(dá)服務(wù)器時(shí)，狀態(tài)字段為NEW；建立連接后數(shù)據(jù)包的狀態(tài)字段都是ESTABLISHED

• –sport 22:?sshd監(jiān)聽(tīng)22端口，同時(shí)也通過(guò)該端口和客戶端建立連接、傳送數(shù)據(jù)。因此對(duì)于SSH服務(wù)器而言，源端口就是22

• –dport 22:?ssh客戶端程序可以從本機(jī)的隨機(jī)端口與SSH服務(wù)器的22端口建立連接。因此對(duì)于SSH客戶端而言，目的端口就是22

如果服務(wù)器也需要使用SSH連接其他遠(yuǎn)程主機(jī)，則還需要增加以下配置：

# 1.送出的數(shù)據(jù)包目的端口為22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

# 2.接收的數(shù)據(jù)包源端口為22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH類似：

# 1.允許接收遠(yuǎn)程主機(jī)的HTTP請(qǐng)求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

# 1.允許發(fā)送本地主機(jī)的HTTP響應(yīng)
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

3.完整的配置

# 1.刪除現(xiàn)有規(guī)則
iptables -F

# 2.配置默認(rèn)鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 3.允許遠(yuǎn)程主機(jī)進(jìn)行SSH連接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 4.允許本地主機(jī)進(jìn)行SSH連接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 5.允許HTTP請(qǐng)求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

配置轉(zhuǎn)發(fā)端口示例

iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38.X25.X.X02 
iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE

NAT規(guī)則實(shí)戰(zhàn)舉例：

需求

把本地的mysql 3306端口映射出去變成63306，外面連接的語(yǔ)句是

mysql -uroot -p'password' -h xxxxx -P 63306

注：當(dāng)訪問(wèn)63306的時(shí)候，會(huì)自動(dòng)去請(qǐng)求3306，然后返回?cái)?shù)據(jù)。

實(shí)現(xiàn)

先允許數(shù)據(jù)包轉(zhuǎn)發(fā)

echo 1 >/proc/sys/net/ipv4/ip_forwardsysctl -w net.ipv4.conf.eth0.route_localnet=1sysctl -w net.ipv4.conf.default.route_localnet=1

nat規(guī)則

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1

注：這是允許所有外來(lái)的IP訪問(wèn)，慎用。

我們來(lái)做個(gè)ip限制，限制單個(gè)來(lái)源IP

iptables -t nat -R PREROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306iptables -t nat -R POSTROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1

注：這是只給外網(wǎng)的192.168.40.154連接， 其他的都連不上，

修改規(guī)則(4代表編號(hào), --line-number可查看對(duì)應(yīng)編號(hào), -s 指定來(lái)源IP)。

查看nat規(guī)則

iptables -L -t nat --line-number

刪除nat規(guī)則

iptables -t nat -D POSTROUTING 1-A 追加規(guī)則-->iptables -A INPUT-D 刪除規(guī)則-->iptables -D INPUT 1(編號(hào))-R 修改規(guī)則-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現(xiàn)行規(guī)則，順序不變(1是位置)-I 插入規(guī)則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規(guī)則，原本位置上的規(guī)則將會(huì)往后移動(dòng)一個(gè)順位-L 查看規(guī)則-->iptables -L INPUT 列出規(guī)則鏈中的所有規(guī)則-N 新的規(guī)則-->iptables -N allowed 定義新的規(guī)則

文章轉(zhuǎn)載：高效運(yùn)維
（版權(quán)歸原作者所有，侵刪）

今天分享的這份資料稱得上入門Linux防火墻的極佳教程。一共74頁(yè)，從最基礎(chǔ)的防火墻概念開(kāi)始講解，涵蓋了iptables、SNAT、DNAT、firewalld以及rich規(guī)則等知識(shí)點(diǎn)。還包括iptables超詳細(xì)思維導(dǎo)圖，領(lǐng)取方式見(jiàn)文末！

• 防火墻的概念

• iptables的基本認(rèn)識(shí)

• iptables的組成

• iptables的基本語(yǔ)法

• iptables之forward的概念

• iptables之地址轉(zhuǎn)換法則

• SNAT源地址轉(zhuǎn)換的具體實(shí)現(xiàn)

• DNAT目標(biāo)地址轉(zhuǎn)換的具體實(shí)現(xiàn)

• firewalld介紹

• firewalld配置命令

• rich規(guī)則

這部分介紹了什么是防火墻，防火墻分類又可以分為主機(jī)防火墻、網(wǎng)絡(luò)層防火墻、硬件防火墻。

第二大部分內(nèi)容是iptables：Netfilter組件、iptables組成、Netfilter表和鏈對(duì)應(yīng)關(guān)系、IPTABLES和路由、iptables規(guī)則、命令、添加要點(diǎn)······還包括iptables超詳細(xì)思維導(dǎo)圖。

數(shù)據(jù)包處理路線圖

表和通用匹配

狀態(tài)（跟蹤連接）機(jī)制和相關(guān)參數(shù)

連接協(xié)議

完整高清版思維導(dǎo)圖下拉文末直達(dá)領(lǐng)取！

• 鏈管理

• 查看

• 規(guī)則管理

• 匹配條件

• multiport擴(kuò)展

• iprange擴(kuò)展

• mac擴(kuò)展

• string擴(kuò)展

• time擴(kuò)展

• connlimit擴(kuò)展

? ? ······

firewalld是CentOS 7.0新推出的管理netfilter的工具，firewalld是配置和監(jiān)控防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程?？梢詫?shí)現(xiàn)iptables,ip6tables,ebtables等功能。

rich規(guī)則比基本的firewalld語(yǔ)法實(shí)現(xiàn)更強(qiáng)的功能，不僅實(shí)現(xiàn)允許/拒絕，還可以實(shí)現(xiàn)日志syslog和auditd，也可以實(shí)現(xiàn)端口轉(zhuǎn)發(fā)，偽裝和限制速率。

無(wú)論對(duì)小白還是有一定基礎(chǔ)的人，這都是一本實(shí)用性很強(qiáng)，具有指導(dǎo)意義的資料，認(rèn)真讀完它，相信你一定會(huì)有所受益！需要完整版本的朋友直接掃描下方二維碼免費(fèi)獲取完整資料和高清思維導(dǎo)圖?。▊渥ⅲ悍阑饓Γ?/span>