iptables 防火墙

**Iptables防火墙**

Iptables是一种流行的Linux防火墙工具，用于控制网络数据包的流向。它可以根据源IP、目的IP、协议等条件进行过滤，并且支持多种规则类型，如ACCEPT、DROP、REJECT等。

###什么是iptablesIptables是一个基于Netfilter框架的防火墙工具，它提供了一个灵活的配置方式，可以根据需要自定义规则。Netfilter框架是Linux内核的一部分，用于管理网络数据包的流向。

### iptables的基本概念* **链表**：iptables使用链表来组织规则，每个链表代表一条规则链。
* **规则**：每个规则由条件和动作组成，条件决定哪些数据包需要被处理，而动作决定如何处理这些数据包。
* **表**：iptables有三个主要的表：filter、nat和mangle。filter用于过滤数据包，nat用于进行网络地址转换，mangle用于修改数据包的选项。

### iptables的基本命令下面是一些基本的iptables命令：

* **-A**：添加一个新规则到指定链表中。
* **-D**：删除一个规则从指定链表中。
* **-L**：列出所有规则在指定链表中。
* **-P**：设置默认动作为ACCEPT、DROP或REJECT等。

### iptables的基本配置下面是一个基本的iptables配置示例：

bash# Flush所有规则iptables -F# 设置默认动作为ACCEPTiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT# 允许本地连接iptables -A INPUT -i lo -j ACCEPT# 允许SSH连接iptables -A INPUT -p tcp --dport22 -j ACCEPT# 丢弃其他所有数据包iptables -A INPUT -j DROP

bash# 创建一个新链表iptables -N MYCHAIN# 添加一个规则到MYCHAIN链表中iptables -A MYCHAIN -p tcp --dport80 -j ACCEPT# 将MYCHAIN链表添加到INPUT链表中iptables -I INPUT -j MYCHAIN

bash# 添加一个新规则到INPUT链表中iptables -A INPUT -p tcp --dport22 -m state --state NEW,ESTABLISHED -j ACCEPT# 添加一个新规则到OUTPUT链表中iptables -A OUTPUT -p tcp --sport80 -m state --state ESTABLISHED -j ACCEPT

bash# 创建一个新的nat表iptables -t nat -N MYNAT# 添加一个规则到MYNAT链表中iptables -A MYNAT -p tcp --dport80 -j DNAT --to192.168.1.100:8080# 将MYNAT链表添加到POSTROUTING链表中iptables -I POSTROUTING -j MYNAT

bash# 添加一个新规则到INPUT链表中iptables -A INPUT -p tcp --dport22 -m state --state NEW,ESTABLISHED -j ACCEPT# 添加一个新规则到OUTPUT链表中iptables -A OUTPUT -p tcp --sport80 -m state --state ESTABLISHED -j ACCEPT

bash#保存当前配置到文件中iptables-save > /etc/iptables.rules# 恢复配置从文件中iptables-restore < /etc/iptables.rules