介绍

其实Iptables服务不是真正的防火墙，只是用来定义防火墙规则功能的"防火墙管理工具"，将定义好的规则交由内核中�.NETfilter即网络过滤器来读取，从而真正实现防火墙功能。

filter表

核心功能：用于主机防火墙

常用命令

iptables -nL --line-number #查看iptables规则（列出序号）
iptables -t filter -D INPUT 1 #通过序号删除链中的规则（或者原添加规则命令中直接-A/-I换成-D也可删除）
#查看iptables默认加载的内核模块
lsmod| egrep "nat|filter"
iptables -F #清除所有规则，只留下默认规则
iptables -N #创建用户自定义的链
iptables -X #清除用户自定义的链
iptables -Z #链的计数器清零
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP #-j jump
#-A 添加规则到链的结尾，最后一条 -I 插入规则到链的开头，第一条。 越靠前的规则优先级越高。
iptables -I INPUT 2 #指定位置插入规则，插入到INPUT链的第二行
#禁止10.0.0.0网段连入
iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP
#取反匹配（不同centos版本!位置有变化）
iptables -t filter -A INPUT -i eth0 -s ! 10.0.0.0/24 -j DROP
#-p协议 (all, tcp, udp, icmp),默认all

iptables -A INPUT -m iprange --src-range 13.32.4.168-13.32.4.176 -j ACCEPT #匹配源IP
iptables -A INPUT -m iprange --dest-range 8.8.8.2-8.8.8.22 -j DROP #匹配目标IP

#匹配端口范围
--sport 22:80
-m multiport --dport 21,22,23,80,3306

#匹配网络接口
-i 匹配包进入的网卡
-o 匹配包流出的网卡

#icmp有很多类型，--icmp-type 8代表ping
#禁ping
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
iptables -I INPUT -p icmp --icmp-type 8 -s 10.0.0.0/24 -j ACCEPT

#匹配网络状态 -m state --state
#允许关联的状态包通过，一般用于ftp服务，比喻：看电影出去接电话或者WC，回来也得允许进去
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

企业级防火墙部署

#不允许进和转发，只允许出。最安全的
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#开启信任的IP网段(多网卡)
iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT

#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许所有人ping
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

#允许关联的状态包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存

#保存iptables配置，2种保存方式
/etc/init.d/iptables save
iptables-save > /etc/sysconfig/iptables

#iptables维护可以通过直接编辑/etc/sysconfig/iptables
vim /etc/sysconfig/iptables
/etc/init.d/iptables restart|reload  #编辑后重启

nat表

核心功能：IP及端口的映射转换，主要应用于以下2点：
1.共享上网
2.端口映射

首先说说局域网内封包的传送:
1. 先经过 NAT table 的 PREROUTING 链；
2. 经由路由判断确定这个封包是要进入本机与否，若不进入本机，则下一步；
3. 再经过 Filter table 的 FORWARD 链；
4. 通过 NAT table 的 POSTROUTING 链，最后传送出去。

NAT 主机的重点就在于上面流程的第 1,4 步骤，也就是 NAT table 的两条重要的链：PREROUTING 与POSTROUTING。 那这两条链重要功能在于修改IP，而这两条链修改的IP又是不一样的，POSTROUTING在修改来源IP，PREROUTING则在修改目标IP 。由于修改的 IP 不一样，所以就称为来源NAT (Source NAT, SNAT) 及目标 NAT (Destination NAT, DNAT)。

共享上网

#载入内核模块
modprobe ip_tables
modprobe iptables_filter
modprobe iptables_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

#局域网共享
#方法1： 适合于有固定外网IP的,在有固定外网IP的服务器执行：
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.7
#192.168.1.0/24是内网地址段(办公室或IDC内网段)，10.0.0.7是外网IP

#方法2：适合变化的外网地址（ADSL）
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
#MASQUERADE 表示伪装,外网IP地址不稳定的情况即可使用MASQUERADE(动态伪装),能够自动的寻找外网地址并改为当前正确的外网IP地址

为什么用POSTROUTING

企业共享上网

1.办公室共享上网。网管要有外网IP，否则用路由

2.IDC内网机器上网

端口映射

#场景：浏览器中访问 13.32.4.61:8088，能够映射转换到13.32.161.250:8088
#在13.32.4.61上执行
iptables -t nat -A PREROUTING -d 13.32.4.61 -p tcp --dport 8088 -j DNAT --to 13.32.161.250:8088
iptables -t nat -A POSTROUTING -d 13.32.161.250 -p tcp --dport 8088 -j SNAT --to 13.32.4.61

#还可以使用REDIRECT单独进行端口转换
#例：将 80 端口的封包转递到 8080端口
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
# 使用 8080 这个 port 来启动 WWW ，但是别人都用80来联机

iptables常用企业案例

1. linux主机防火墙（表：filter 链：INPUT）
2. 局域网机器共享上网（表：nat 链：POSTROUTING）
3. 外部地址和端口，映射为内部地址和端口（表：nat 链：PREROUTING）#实现外网IP 124.42.34.112 一对一映射到内部 10.0.0.8
   #网关IP eth0:124.42.60.109 eth1:10.0.0.254
   #首先在路由网关上绑定VIP 124.42.34.112，可以是别名的方式。
   iptables -t nat -A POSTROUTING -s 10.0.0.0/255.255.240.0 -d 124.42.34.112 -j SNAT --to-source 10.0.0.254
   iptables -t nat -A PREROUTING -d 124.42.34.112 -j DNAT --to-destination 10.0.0.8
   iptables -t nat -A POSTROUTING -s 10.0.0.8 -o eth0 -j SNAT --to-source 124.42.34.112