iptables学习（针对filter链）

1、什么是防火墙？

从广义来说，只要能够分析与过滤进出我们管理之网域的封包数据，就可以称为防火墙

2、iptables的表格table与链chain

linux预设的三个表格：filter管理本机进出的,nat管理后端主机（防火墙内部的其他计算机）,mangle管理特殊旗标使用
filter:
INPUT->:与进入Linux本机的封包有关
OUTPUT->:本机所要送出的封包有关
FORWARD->:与linux本机比较没有关系，他可以转递包到后端的计算机中，与nat table相关性较高

3、列出filter  table三条链的规则

iptables -L -n  
参数解析：
 -L：列出目前的table规则 -n：不进行IP与HOSTNAME的反查，显示讯息的速度会快很多 -t：哪个表格，如
列出nat table三条链的规则  iptables -t nat -L -n

4、结果集列代表的意思

target:代表进行的动作，accept是放行，而reject则是拒绝，drop为丢弃
prot:代表使用的封包协议，主要有tpc,udp,icmp三种封包格式
opt:额外的选项说明
source:代表些规则是针对哪个来源ip进行限制
destination:代表此规则是针对哪个目标ip进行限制

5、清除本机防火墙filter的所有规则

iptables -F :清除所有的已订定的规则
iptables -X ：杀掉所有使用者‘自定义’的chain
iptables -Z：将所有的chain的计数与流量统计都归零

6、iptables设定基础语法

iptables [-AI 链名] [-io 网络接口] [-p 协议] [--sport 限制来源的端口号码] [--dport 限制目标的端口号码] [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]选项与参数 -P[定义Policy] -m [一些iptables的外挂模块] [--state 一些封包的状态]
其中，
-p 协定：设定此规则适用于哪种封包格式，主要的封包格式有：tcp,udp,icmp及all
-P(大写)：定义政策（Policy），有三种DROP,ACCEPT,REJECT
-AI链名：针对某的链进行规则的“插入”或“累加”
   -A：新增加一条规则，该规则增加在原本规则的最后面
   -I：插入一条规则。如果没有指定此规则的顺序，默认是插入变成第一条规则
-io网络接口：设定封包进出的接口规范
    -i:封包所进入的那个网络接口，例如：eth0，lo等接口，需与INPUT链配合
    -o：封包所传出的那个网络接口，需与OUTPUT链配合
-s来源IP/网域：设定此规则之封包的来源项目，可指定单纯的IP或包括网域，例如：
                   IP:192.168.0.100
                   网域：192.168.0.0/24，192.168.0.0/255.255.255.0 均可
                  若规范为 不许 时，则加上!即可，例如：
                                -s ! 192.168.100.0/24 表示不允许192.168.100.0/24之封包来源；
-d目标IP/网域：同-s，只不过这里指的是目标的ip或网域
-j：后面接动作，主要的动作有接受ACCEPT、丢弃DROP、拒绝REJECT及记录LOG
--sport 端口范围：限制来源的端口号码，端口号码可以是连续的，例如1024:65535
--dport 端口范围：限制目标的端口号码
-m：一些iptables的外挂模块，主要常见的有：
                   state:状态模块
                   mac:网络卡硬件地址
--state：一些封包的状态，主要有：
                  INVALID 无效的封包，例如数据破损的封包状态
                  ESTABLISHED 已经联机成功的联机状态
                  NEW:想要新建立联机的封包状态；
                  RELATED:这个最常用！表示这个封包是与我们主机发送出去的封包有关

7、实战参考

http://liubin.blog.51cto.com/282313/750318

http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

《鸟哥linux私房菜服务器架设篇第三版》