【防火墙】iptables防火墙（一）

**防火墙之 iptables**

iptables 是 Linux 下的一种防火墙工具，用于控制网络数据包的流向。它可以根据源 IP、目的 IP、端口号等条件进行过滤，并且支持多种规则类型，如ACCEPT、DROP、REJECT 等。

### 一、iptables 的基本概念####1.链表（Chain）

iptables 中有四个链表：INPUT、FORWARD、OUTPUT 和 PREROUTING。每个链表对应一个方向的数据包流向：

* INPUT：输入链表，用于处理进入本机的数据包。
* FORWARD：转发链表，用于处理需要转发到其他机器的数据包。
* OUTPUT：输出链表，用于处理从本机发出去的数据包。
* PREROUTING：预路由链表，用于修改数据包的目的 IP 或端口号。

####2.规则（Rule）

iptables 中的规则是根据条件进行过滤的。每个规则都有一个优先级，越高的优先级越先被执行。

### 二、iptables 的基本命令####1.查看链表和规则* `iptables -n -L`：查看所有链表和规则。
* `iptables -n -L INPUT`：查看INPUT链表。
* `iptables -n -L --verbose`：查看详细的链表和规则信息。

####2.添加规则* `iptables -A INPUT -p tcp --dport22 -j ACCEPT`：允许进入本机的tcp端口为22的数据包。
* `iptables -I INPUT1 -p tcp --dport80 -j DROP`：在INPUT链表的第一个位置添加规则，丢弃进入本机的tcp端口为80的数据包。

####3.删除规则* `iptables -D INPUT1`：删除INPUT链表的第一个规则。
* `iptables -F INPUT`：清空INPUT链表中的所有规则。

### 三、iptables 的常用选项####1.-p选项* `-p tcp`：指定数据包类型为tcp。
* `-p udp`：指定数据包类型为udp。
* `-p all`：指定数据包类型为all（即所有类型）。

####2.--dport选项* `--dport22`：指定数据包的目的端口号为22。
* `--dport80`：指定数据包的目的端口号为80。

####3.-j选项* `-j ACCEPT`：允许数据包通过。
* `-j DROP`：丢弃数据包。
* `-j REJECT`：拒绝数据包。

### 四、iptables 的应用场景####1.安全策略* 允许进入本机的ssh连接（端口22）。
* 丢弃进入本机的 />
####2.防止DDoS攻击* 丢弃来自同一IP地址的多个数据包。

####3.限制流量* 允许每天最多100MB的流量。
* 丢弃超过100MB的流量。

### 五、总结iptables 是 Linux 下的一种强大的防火墙工具，可以根据源 IP、目的 IP、端口号等条件进行过滤，并且支持多种规则类型，如ACCEPT、DROP、REJECT 等。通过理解iptables 的基本概念和命令，开发者可以轻松地使用它来实现安全策略、防止DDoS攻击和限制流量等功能。

### 六、参考资料* [iptables 官方文档]( />* [iptables 教程](