一、iptables基礎(chǔ)：

我們提供的服務(wù)有：做網(wǎng)站、網(wǎng)站設(shè)計(jì)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、舞陽ssl等。為近千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的舞陽網(wǎng)站制作公司

1、了解iptables防火墻。

（1）iptables的表：按照功能的不同表分為raw(狀態(tài)跟蹤)、mangle(標(biāo)記)、nat(地址修改)、filter(過濾)。

（2）iptables規(guī)則鏈：按照不同時(shí)機(jī)鏈分為INPUT(入站)、OUTPUT(出站)、FORWARD(轉(zhuǎn)發(fā))、PREROUTING(路由前)、POSTROUTING(路由后)；

 在鏈中存放規(guī)則：

  filter: INPUT/FORWARD/OUTPUT

  nat: PREROUTING/POSTROUTING/OUTPUT

  mangle: PREROUTING/INPUT/FORWARD/OUTPUT/POSTROUTING

  raw: PREROUTING/OUTPUT

2、iptables匹配流程：根據(jù)數(shù)據(jù)流的方向確定匹配順序;

 入站數(shù)據(jù)流向：PREROUTING --> INPUT

 出戰(zhàn)數(shù)據(jù)流向：OUTPUT --> POSTROUTING

 轉(zhuǎn)發(fā)數(shù)據(jù)流向：PREROUTING --> FORWARD --> POSTROUTING;

（1）表的匹配順序：

  raw --> mangle --> nat --> filter

（2）鏈的匹配順序：根據(jù)數(shù)據(jù)流的方向確定匹配順序。

（3）鏈內(nèi)規(guī)則匹配順序：從上到下，匹配即停止未匹配使用默認(rèn)規(guī)則。

二、編寫iptables規(guī)則：

 語法：iptables -t 表名 選項(xiàng) 鏈名 條件 -j 動(dòng)作

1、編寫iptables語法注意：

（1）省略表名，表示filter表，省略鏈名，表示表內(nèi)所有鏈

（2）除非設(shè)置默認(rèn)規(guī)則，否則必須設(shè)置匹配的規(guī)則

（3）選項(xiàng)，鏈名，動(dòng)作必須大寫，其他小寫

2、動(dòng)作：對匹配條件進(jìn)行處理，常見有：

ACCEPT:允許； DROP:丟棄； REJECT:拒絕； LOG:日志；

3、選項(xiàng)：

 對鏈進(jìn)行的規(guī)則的增、刪、改、查操作。

（1）增加：-A鏈的末尾添加、-I鏈的制定位置添加。

（2）刪除：-D刪除一條規(guī)則、-F清空鏈內(nèi)所有規(guī)則

（3）查看：-L -n 查看規(guī)則、-L -n -V 顯示更詳細(xì)的信息、-L -n --line-number顯示規(guī)則序號。

（4）設(shè)置默認(rèn)規(guī)則：-P 鏈名 DROP或者ACCEPT

4、匹配條件：

（1）通用的匹配條件：

 -P 協(xié)議  ##常用ICMP/UDP/TCP

 -s 源地址，-d 目的地址  ##能確認(rèn)的地址

 -i 入站接口， -o 出戰(zhàn)接口  ##注意數(shù)據(jù)流向，如INPUT只能用-i

（2）隱含匹配條件：

 端口：-p 協(xié)議  --dport 目的端口 或 --sport 源端口

 ICMP類型：-p icmp --icmp-type 8請求 或 0返回 或 3網(wǎng)絡(luò)不可達(dá)

 TCP標(biāo)識：-p tcp --tcp-flags 范圍 標(biāo)記 （syn,ack,fin,rst）

（3）顯示匹配條件：

 多端口：-m multiport -p tcp或udp --dports 端口1，端口2，端口：端口

 ip地址范圍：-m --iprange --src-range ip1-ip2

 mac地址：-m mac --source-mac MAC地址

 狀態(tài)：-m state --state NEW,ESTABLISHED,RELATED (NEW新建，ESTABLISHED已經(jīng)建立連接，RELATED和已經(jīng)建立的任務(wù)已經(jīng)相關(guān))

三、企業(yè)服務(wù)器防火墻設(shè)置實(shí)戰(zhàn)：

 /etc/init.d/iptables stop  ##清空規(guī)則，包括默認(rèn)

 iptables -A INPUT -i lo -j ACCEPT  ##允許本地所有訪問

 iptables -A INPUT -p tcp -m -multiport --dports 80,443,20,21,45000:50000 -j ACCEPT  ##開放本地所有端口

 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  ##本機(jī)可以訪問其他主機(jī)

 iptables -p INPUT DROP  ##設(shè)置INPUT的默認(rèn)規(guī)則

 iptables -p FORWARD DROP  ##禁止轉(zhuǎn)發(fā)

 /etc/init.d/iptables save  ##保存規(guī)則

 chkconfig iptables on  ##開機(jī)啟動(dòng)