linux操作系统iptables命令备忘录

1.综述

参考：https://blog.csdn.net/u011456940/article/details/52634184 

https://blog.csdn.net/reyleon/article/details/12976341

总而言之，iptables的一般用法

iptables [-t 规则表] [命令][匹配][操作]

英文表达法： iptables [-t table] [operation chain] [match] [action]

例如：iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

2.关键功能，增删改查；

查：

iptables -L -n --line-number; #-L，列表展示，-n，展示ip地址而非反向解析为主机名，--

line-number，显示规则的序号

增：

iptables -t filter -A INPUT -p tcp [-s 192.168.1.5 -d 127.0.0.1 -sport 22] -dport 22 

-j ACCEPT

iptables -t filter -I INPUT 3 -p tcp --dport=26 -j ACCEPT

改：（或者说是替换）

iptables -t filter -R INPUT 3 -p udp --dport=28 -j ACCEPT

删：

iptables -t filter -D INPUT 3 

3.关键功能，规则链chain的默认策略选择。

默认策略：ACCEPT,DROP,REJECT;

常见两种配置方式，

方式一：默认允许所有请求包通过

iptables [-t filter] -P INPUT ACCEPT;

方式一：默认拒绝或者丢弃所有请求包

iptables [-t filter] -P INPUT DROP; 

4.关键功能：清空规则链

iptables -F;

iptables -F -t nat/mangle/filter;

iptables -X; # 清空自定义规则链

5.关于-m参数

-m：match，后接扩展包匹配模块，可以实现很多更为复杂的功能，例如利用防火墙防御ddos攻击

。

介于用法复杂，故而设定时候，请参考man iptables；

这里介绍一些常见的用法

用法案例参考网址：

https://www.cnblogs.com/hukey/p/6934893.html

-m multiport

iptables -A INPUT -p tcp -m multiport -dport 22,80 -j ACCEPT; #同时支持两个端口

6.iptables的规则保存，重启生效，以及备份恢复。

规则保存两种方式：

service iptables save，保存iptables规则。

iptables-save > /etc/sysconfig/iptables

备份与恢复：

iptables-save > ~/iptables.bak

iptables-restore < ~/iptables.bak

7.如何确认iptables服务是否开启了

centos 6:

service iptables status;

centos 7:

systemctl status iptables;

8.常见问题：

1)重启后，发现iptables规则被清空了，查看/etc/sysconfig/iptables，又有规则记录。

处理方案：chkconfig iptables on;

9.关于reject；

使用案例：

--reject-with type

              The type given can be

               icmp-net-unreachable

               icmp-host-unreachable

               icmp-port-unreachable

               icmp-proto-unreachable

               icmp-net-prohibited

               icmp-host-prohibited or

               icmp-admin-prohibited (*)

1)icmp-host-prohibited，导致ping不通，返回错误信息如下所示：

C:\Documents and Settings\Administrator>ping 172.16.3.101

Pinging 172.16.3.101 with 32 bytes of data:

Reply from 172.16.3.101: Destination host unreachable.

Reply from 172.16.3.101: Destination host unreachable.

2)icmp-net-unreachable 

Pinging 172.16.3.101 with 32 bytes of data:

Reply from 172.16.3.101: Destination net unreachable.

Reply from 172.16.3.101: Destination net unreachable.

3) icmp-proto-unreachable

Pinging 172.16.3.101 with 32 bytes of data:

Reply from 172.16.3.101: Destination protocol unreachable.

Reply from 172.16.3.101: Destination protocol unreachable.

......

总而言之，reject-with是定义返回的错误包的。