Iptables 是一个功能强大的防火墙工具,用于基于 Linux 的系统来控制网络流量。它是一个命令行工具,允许系统管理员配置和管理防火墙规则,以控制进出系统的流量。Iptables 使用一系列组织成链的规则来确定如何处理传入和传出流量。
在 iptables 中,链是一系列规则,用于确定如何处理符合特定条件的流量。iptables 有几个内置链,包括 INPUT、OUTPUT 和 FORWARD 链。每个链都包含一系列规则,这些规则确定如何处理与规则定义的条件相匹配的流量。
当数据包到达系统时,iptables 根据相应链中的规则检查数据包,以确定如何处理该数据包。如果数据包与规则匹配,则 iptables 会执行该规则指定的操作。如果数据包不匹配任何规则,则 iptables 继续下一条链,直到找到匹配的规则。
Iptables 链的类型
iptables 链有两种类型:内置链和用户定义链。
内置链条
iptables 有几个内置的链,用于控制传入和传出流量。
这些链条包括:
INPUT 链:该链用于控制系统的传入流量。它包含确定如何处理发往系统的流量的规则。
OUTPUT 链:该链用于控制系统的传出流量。它包含确定如何处理源自系统的流量的规则。
FORWARD 链:该链用于控制通过系统转发的流量。它包含确定如何处理不是发往系统但正在通过系统转发的流量的规则。
用户定义链
Iptables 允许系统管理员创建自己的自定义链。用户定义的链用于将与特定功能或服务相关的一组规则分组在一起。这使得在复杂系统上管理和维护防火墙规则变得更加容易。 
创建用户定义的链
第 1 步:创建新的用户定义链
执行以下命令创建用户自定义链:
$sudo iptables -N chain_name此命令创建一个名为“chain_name”的新链。创建链后,您可以向链添加规则以控制符合特定条件的流量。
第 2 步:向 iptables 链添加规则
创建链后,您可以向链添加规则以控制传入和传出流量。通过运行以下命令向创建的链添加新规则:
$sudo iptables -A chain_name [options] -j action- -A选项指定规则应附加到链的末尾。
- [ options ]指定应用规则必须满足的条件。
- -j选项指定满足规则条件时要采取的操作。
注意:以下是向 iptables 链添加规则时可以使用的一些常用选项:
- -p:指定规则适用的协议(例如,tcp、udp、icmp)。
- –dport:指定规则应用的目标端口号。
- –sport:指定规则应用的源端口号。
- -s:指定规则适用的源IP地址或IP地址范围。
- -d:指定规则适用的目标 IP 地址或 IP 地址范围。
- -i:指定规则适用的输入接口。
注意:以下是向 iptables 链添加规则时可以采取的一些常见操作:
- ACCEPT:允许流量通过链
- DROP:丢弃流量而不向源发送响应
- REJECT:拒绝流量并向源发送响应
- LOG:将流量记录到日志文件中,而不采取任何其他操作
- SNAT:执行源网络地址转换
- DNAT:执行目标网络地址转换
iptables 中的其他函数
以下是有关如何使用 iptables 链控制网络流量的一些示例:
阻止特定端口的流量
假设您要阻止基于 Linux 的系统上端口 22 的传入流量。您可以向 INPUT 链添加一条规则,以丢弃所有流向端口 22 的流量。运行以下命令来阻止端口 22 上的传入流量:
$sudo iptables -A INPUT -p tcp --dport 22 -j DROP此命令允许您向 INPUT 链添加一条规则,以丢弃所有到端口 22 的 TCP 流量。
允许来自特定 IP 地址的流量
假设您希望允许来自特定 IP 地址(例如 192.168.1.100)的传入流量到达基于 Linux 的系统。您可以向 INPUT 链添加一条规则,以允许来自该 IP 地址的流量。运行以下命令以允许来自 IP (192.168.1.100) 的流量:
$sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT这会向 INPUT 链添加一条规则,接受来自 IP 地址 192.168.1.100 的所有流量。
结论
iptables 链是控制网络流量和保护系统的非常有用的工具。一开始了解不同链的工作原理以及如何创建自己的规则可能有点困难,但通过实践和对核心概念的充分理解,您可以轻松创建满足您特定需求的定制防火墙。通过遵循最佳实践并保持防火墙最新,您可以大大提高网络的安全性和稳定性。
