iptable filter表

--------------------------------------------5月10日-----------------------------------------------------------------------

开启防火墙，允许80端口

总的来说，防火墙的的语句规范

iptables [-t table] {-A|-D} chain rule-specification

这里表的话有filter表（包过滤），nat表（地址转换），mangle表（标识），raw表（处理原始包）

Chain就是表链

Filter表链有INPUT,OUTPUT,FORWARD

Nat表链有PREROUTING,POSTROUTING, output

防火墙+LAMP

---------------------------------------------5月17日-------------------------------------------------------------------

从策略上看这个是filter表里面的最后一条拒绝的。

然后我们需要加入一条允许的

根据理解

根据对比，注意到第一个字母I，需要小写，我们再试一下

 

然后我们看到如下报错

报错，后，我们按照提示，去掉“-t filter”

查看例子，我们看到-dport有两个“-”

我们添加看看

 

因为是unknown option，那么我们观察是例子，看到端口必须指定协议，否则无法识别，我们加上协议看看

看到报错是“-j”,我们继续看例子，看到例子发现-j 没有错误啊。

然后，我去掉了“-j”,成功

然后，我们看看列表,多了一条 ACCEPT

我又两个问题

1.      我的参数没有ACCEPT，他是如何确定是ACCEPT

2.      我只加了进入的，是不是出去的也要添加？

首先，我们加上一个出去的。成功

同样不能正常访问，我们继续看看第二个问题，先完成，然后想想其中的原因。

好的，既然策略都加上了，为什么还是不能访问呢？

我们看看防火墙的日志，都是sshd的日志

防火墙的日志在哪？找了一圈没有找到，然后我们开始看说明，然后开始加上—log-tcp-options但是怎么加呢？

 

我们尝试把刚才执行的语句都加上这个日志看看。

现在有个问题，1.如果我在每个策略上都加上，肯定无法排查。2.但是从结果分析，只有无法接通，那么肯定是最后一条拦截的。也就是说。我们加的策略不对

下面我们有两条路，1. 结果导向，先解决，然后想办法。2. 找到防火墙日志。

到目前为止，我们有三个问题

1.      ACCEPT如何加入

2.      防火墙日志如何呈现

3.      如何放通80端口

这个时候，我注意到我新加入的两条策略，target都是空白，那么空白是什么？允许？拒绝？

下面，我们要加上ACCEPT看看

我们先尝试删除

无法删除，说，号码不对

下面我们尝试列出号码

有点沮丧，但是，自学就是这样，我们必须总结方法，以后的路，还是要自学的。到了巅峰，是没有人来教你的。自学是我必须学会的东西

好吧，收拾一下，我们继续

我们看到了两个number，其中一个数字化显示地址和端口，另外一个是行号

我们看看这两个命令

我调整了一下参数，并测试了“-verbose”和“-v”，首先，长的和短的命令选项都可以。那么问题就在于输入的字母了，然后我们输入一下，终于看到号码了。

好的，继续我们的任务，删除或者修改第10条规则，添加ACCEPT，我们忽然看到了一个-P(大写的P)参数，决定试一下

 

参考以上参数，但是提示需要一个chain和policy，chain不是INPUT吗？policy是什么？

然后，我们看到了这个。

好吧，我们试试，加上后，不在提示需要chain和policy,但是问题来了，怎么把ACCEPT交上去呢。

 

看了半天说明，好像只有内置规则才能加入规则啊

不管了，目标第一。先删除，然后重新添加

删除第10条规则

重新添加,添加报错，错误参数。

看看例子，少了一个“-”

加上后，添加成功

下面我们继续删除，修改OUTPUT

先列表看看号码，还记得吗？，好吧，我没记住，找笔记去

看到区别了吗？中间少了一个“-”，这个是我常犯的错误。

好了，删除，重新添加,手抖了一下。

难得一次成功了

这次我们完成了添加允许的动作，让我们看看列表,有了。

 

我们测试一下，还是不行哦

好伤士气啊。什么鬼，是监听的啊

继续排查，日志，没找到，包过滤只有filter表啊

别的没有啊

实在受不了，重启防火墙，然后刚加入的策略没了。。。。

最后尝试，把策略加到第一条,这次终于顺畅了

YES!!!!!成功，真的，胜利就是在你实在不想坚持的时候，再试一下。telnet端口通！！！访问正常。策略完成！！！！！

 

总结一下遗留问题

1.      为什么-j ACCEPT加不上

2.      如何查看防火墙日志

3.      最要命的，怎么保存啊。，查来查去，希望是这个吧，明天见。下班走人