基础概念

linux 的包过滤功能，即 linux 防火墙，它由 netfilter 和 iptables 两个组件组成。netfilter 位于内核空间，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。iptables 是一个命令行工具，位于用户空间，它使得插入、修改和删除信息包过滤表中的规则变得容易。

我们知道 iptables 是按照规则来办事的，规则其实就是网络管理员预定义的条件，规则一般的定义为"如果数据包头符合这样的条件，就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables 就根据规则所定义的方法来处理这些数据包，如放行（ACCEPT）、拒绝（REJECT）和丢弃（DROP）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

当客户端访问服务器的服务时，客户端发送报文到服务器的网卡，而 TCP/IP 协议栈是属于内核的一部分，所以客户端的信息会通过内核的 TCP 协议传输到用户空间中的服务中，而此时客户端报文的目标终点（destination）为服务所监听的套接字（IP:PORT），当服务需要响应客户端请求时，服务发出的响应报文的目标终点则为客户端，这个时候服务所监听的IP与端口反而变成了原点（source）。netfilter才是真正的防火墙，它是内核的一部分，如果我们想要防火墙能够达到"防火"的目的，则需要在内核中设置关卡，所有进出的报文都要通过这些关卡，经过检查后，符合放行条件的才能放行，符合阻拦条件的则需要被阻止，于是就出现了 INPUT 关卡和 OUTPUT 关卡。然而这些关卡在 iptables 中并不被称为"关卡"，而是被称为"链"。

其实我们上面描述的场景并不完善，因为客户端发来的报文访问的目标地址可能并不是本机，而是其他服务器，当本机的内核支持 IP_FORWARD 时，我们可以将报文转发给其他服务器。这个时候，我们就会提到 iptables 中的其他"关卡"，也就是其他"链"，它们就是 PREROUTING（“路由前”）、FORWARD（“转发”）、POSTROUTING（“路由后”）。

也就是说，当我们启用了防火墙功能时，报文需要经过如下关卡，也就是说，根据实际情况的不同，报文经过"链"可能不同。如果报文需要转发，那么报文则不会经过 INPUT 链发往用户空间，而是直接在内核空间中经过 FORWARD 链和 POSTROUTING 链转发出去的。

iptables的结构

iptables 由表（table）、链（chain）和规则（rule）组成，其中表包含链，链包含规则。

我们把具有相同功能的规则集合叫做“表”，对于不同功能的规则，我们可以放置在不同的表中进行管理。iptables 中具有 filter、nat、mangle、raw等几种内建表：

对于各个具体的链而言：

• INPUT 链：处理来自外部的数据。
• OUTPUT 链：处理向外发送的数据。
• FORWARD 链：数据转发。通过路由表后发现目的地址非本机，则匹配该链中的规则。
• PREROUTING 链：处理刚到达本机并在路由转发前的数据包。
• POSTROUTING 链：处理即将离开本机的数据包。

数据包的流转流程可以参考下图：

iptables 命令格式

iptables 命令格式为：

iptables [ -t 表名] 命令选项 [链名] [条件匹配] [-j 处理动作或跳转]

如果没有显式设置表名，那么默认为 filter表，即默认 -t filter。

命令选项

• -L 列出一个或所有链的规则
• -v 显示详细信息，包括每条规则的匹配句数量和匹配字节数
• -x 在v的基础上，禁止自动换算单位（K,M）
• -n 只显示ip地址和端口号，不显示域名和服务名称
• -I 插入到防火墙第一条生效
• -A 添加链是添加到最后一条
• -D 删除指定链中的某一条规则，按规则序号或内容确定要删除的规则
• -F 清空指定链中的所有规则，默认清空表中所有链的内容
• -X 删除指定表中用户自定义的规则链

匹配条件

• -i 入站请求interface（网卡）
• -o 出站请求interface（网卡）
• -s 入站源地址
• -d 目标地址
• -p 指定规则协议，如tcp, udp,icmp等，可以使用 all 来指定所有协议
• --dport 目的端口，数据包的目的（dport）地址是80，就是要访问我本地的80端口
• --sport 来源端口 数据包的来源端口是（sport）80，就是对方的数据包是80端口发送过来的。

动作

• ACCEPT：允许数据包通过。
• DROP：直接丢弃数据包，不给任何回应信息，这时候客户端会感觉自己的请求泥牛入海了，过了超时时间才会有反应。
• REJECT：拒绝数据包通过，必要时会给数据发送端一个响应的信息，客户端刚请求就会收到拒绝的信息。（一般不使用REJECT(拒绝)行为，REJECT会带来安全隐患。）
• SNAT：源地址转换，解决内网用户用同一个公网地址上网的问题。
• MASQUERADE：是SNAT的一种特殊形式，适用于动态的、临时会变的ip上。
• DNAT：目标地址转换。
• REDIRECT：在本机做端口映射。
• LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则，也就是说除了记录以外不对数据包做任何其他操作，仍然让下一条规则去匹配。

规则

在上述描述中我们一直在提规则，可是没有细说。那么规则具体指什么呢？

规则：根据指定的匹配条件来尝试匹配每个流经此处的报文，一旦匹配成功，则由规则后面指定的处理动作进行处理。

规则大致又两个逻辑单元组成：匹配条件和动作。最常用的匹配条件是“源地址”、“目标地址”、“源端口”、“目标端口”；最常用的动作有 ACCEPT（接受）、DROP（丢弃）、REJECT（拒绝）。

在实际操作iptables 的过程中，是以“表”作为操作入口的，如果你经常操作关系型的数据库，那么当你听到“表”这个词的时候，你可能会联想到另一个词——“增删改查”，当我们定义 iptables 规则时，所做的操作其实类似于“增删改查”。我们不妨从最简单的“查”操作入手。

filter 表是我们最常用到的表，我们这里以 filter表为例来说明具体的操作。下面的命令展示如何查看 filter 表中的规则：

iptables -t filter -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

上面我们使用-t选项指定要操作的表，使用-L选项查看-t选项对应表的规则。-L 对应 List，意为列出规则。上面命令的含义为列出filter表的所有规则。

我们可以查看指定表中指定链的规则。比如，我们只查看 filter 表中 INPUT 链的规则：

iptables -L INPUT

Chain INPUT (policy ACCEPT)

target prot opt source destination

上面只显示了 filter 表中 INPUT 链的规则（省略 -t 选项默认为 filter 表），当然，你也可以指定只查看其它链。我们还可以使用-v选项查看出更多、更详细的信息，示例如下：

iptables -vL INPUT

Chain INPUT (policy ACCEPT 1509K packets, 851M bytes)

 pkts bytes target prot opt in out source destination

这里我们看到多了一些字段，这些字段就是规则对应的属性，具体的含义归纳如下：

• pkts: 匹配到的报文的个数
• bytes: 匹配到的报文包的大小总和
• target: 表示规则对应的“动作”，即规则匹配成功后需要采取的措施
• prot: 对应的协议，是否只针对某些协议应用此规则
• opt: 表示规则对应的选项
• in: 表示数据包由哪个interface（网卡）流入，我们可以设置通过哪块网卡流入的报文需要匹配当前规则
• out：表示数据包由哪个interface（网卡）流出，我们可以设置通过哪块网卡流出的报文需要匹配当前规则
• source: 表示规则对应的源头地址，可以是一个 IP，也可以是一个网段
• destination: 表示规则对应的目标地址

上面链（Chain INPUT）的背后还有一个括号，括号里包含了policy ACCEPT、1509K packets、851M bytes三部分。

• policy: 表示当前链的默认策略，policy ACCEPT 表示上面 INPUT 链中的默认动作为 ACCEPT, 换句话说就是，默认接受通过INPUT的所有请求。
• packets: 表示当前链的默认策略匹配到的包的数量。
• bytes：表示当前链的默认策略匹配到的所有包的大小总和。

如果需要，我们可以使用iptables -F INPUT 命令来清空 filter 表 INPUT 链中的规则。

假设我们有2台测试机，IP地址分别为 host1 和 host2, 我们可以在 host1 上使用 ping 命令来查看一下网络连通情况：

ping host2

64 bytes from host2: icmp_seq=512 ttl=49 time=213 ms

64 bytes from host2: icmp_seq=513 ttl=49 time=213 ms

64 bytes from host2: icmp_seq=514 ttl=49 time=213 ms

然后我们在 host1 上配置一条规则，拒绝 host2 上的所有报文访问 host1。对应的命令如下：

iptables -t filter -I INPUT -s host2 -j DROP

使用-I选项，指明将“规则”插入哪个链中，I 表示 Insert，即插入的意思，这里表示添加规则之意。使用-s选项，指明匹配条件中的“源地址”，即如果报文的源地址属于 -s 对应的地址，那么报文则满足匹配条件。s 表示 source，即源地址。使用-j选项，指明当匹配条件满足时，所对应的动作，上面指定了动作为 DROP，当报文的源地址为 host2 时，报文则被 DROP。

再来查看一下 filter 表中的 INPUT 链：

iptables -nvL INPUT

Chain INPUT (policy ACCEPT 1421 packets, 344K bytes)

pkts bytes target prot opt in out source destination

114 7992 DROP all -- * * host2 0.0.0.0/0

可以看到相应的规则已经添加了，在 iptables 中，动作被称之为 “target”, 所以上面的 target 字段对应的动作为 DROP。

现在 INPUT 链中已经存在了一条规则，它拒绝了所有来自 host2 的报文，如果此时我们在这条规则之后再配置一条规则—— 接受所有来自 host2 的报文，那么此时 iptables 的表现如何呢？

使用如下命令在 filter 表中追加一条规则：

iptables -nvL INPUT

Chain INPUT (policy ACCEPT 355 packets, 133K bytes)

pkts bytes target prot opt in out source destination

3960 274K DROP all -- * * host2 0.0.0.0/0

0 0 ACCEPT all -- * * host2 0.0.0.0/0

上面并没有继续使用-I选项，而是使用了-A选项，A代表 Append，也是表示在 INPUT 链中追加规则。-I与-A之间的区别在于：-I表示在链的首部插入规则，而-A表示在链的头部插入规则。

上面的信息中也显示了新添加的 ACCEPT 规则在原先的 DROP 之后。

此时再在 host1 上尝试去 ping 通 host2 时会发现还是 ping 不通。看来新添加的规则没有生效。我们这里再次添加一条相同的规则，不过此时使用-I选项来添加。

iptables -I INPUT -s host2 -j ACCEPT

iptables -nvL INPUT

Chain INPUT (policy ACCEPT 57 packets, 6438 bytes)

pkts bytes target prot opt in out source destination

16 2274 ACCEPT all -- * * host2 0.0.0.0/0

7319 507K DROP all -- * * host2 0.0.0.0/0

0 0 ACCEPT all -- * * host2 0.0.0.0/0

如果我们此时再尝试 ping 通 host2 时，发现已经可以正常ping 通了。如果观察仔细，我们可以发现，刚刚添加的 ACCEPT 规则在 DROP 规则之前了。可见，规则的顺序很重要。

如果报文已经被前面的规则匹配到，iptables 则会对报文执行对应的动作，即使后面的规则也能匹配到当前报文，很有可能也没有机会再对报文执行相应的动作了。就以上面的例子来说，报文先被第一条规则匹配到了，于是当前报文被“放行”了。也正因为报文已经被放行了，后面的第二条规则及时能够匹配到放行的报文，也没有机会在对刚才的报文进行丢弃操作了。这就是 iptables 的工作机制。

使用 iptables 是可以通过 --line-number 选项来列出规则的序号，如下所示：

iptables --line-number -nvL INPUT

Chain INPUT (policy ACCEPT 13186 packets, 6606K bytes)

num pkts bytes target prot opt in out source destination

1 1568 278K ACCEPT all -- * * host2 0.0.0.0/0

2 7319 507K DROP all -- * * host2 0.0.0.0/0

3 0 0 ACCEPT all -- * * host2 0.0.0.0/0

我们在添加规则的时候，还可以指定新增规则的编号，这样我们就能在任意位置插入规则了，我们只要把刚才的命令稍作修改即可，如下：

iptables t fileter -I INPUT 2 -s host2 -j DROP

这里仍旧使用-I选项进行插入规则的操作，-I INPUT 2表示在 INPUT 链中新增规则，新增规则的编号为2。

在删除规则时，我们可以使用规则的编号去删除，也可以使用具体的匹配条件和动作去删除。

举例，我们删除第三条规则：

iptables -t filter -D INPUT 3

iptables --line-number -nvL INPUT

Chain INPUT (policy ACCEPT 87 packets, 9870 bytes)

num pkts bytes target prot opt in out source destination

1 5115 594K ACCEPT all -- * * host2 0.0.0.0/0

2 7319 507K DROP all -- * * host2 0.0.0.0/0

我们再删除第一条规则：

iptables -D INPUT -s host2 -j ACCEPT

iptables --line-number -nvL INPUT

Chain INPUT (policy ACCEPT 228 packets, 26328 bytes)

num pkts bytes target prot opt in out source destination

1 7325 507K DROP all -- * * host2 0.0.0.0/0

如果要一下子全部清空怎么操作？这个在前面已经提及过了，使用iptables -t 表名 -F 链名。-F选项为 flush 之意，即冲刷指定的链，即删除指定链中的所有规则。此操作相当于删除操作，在没有保存 iptables 规则的情况下慎用。如果不指定链名，那么会删除表中的所有规则，即iptables -t 表名 -F。

此处省略修改规则、保存规则的具体操作。