20-配置iptables防火墙.txt

                                         第20章 配置iptables防火墙



20.1 防火墙简介

20.1.1 什么是防火墙

    防火墙是一种位于内部网络与外部网络之间的网络安全防护系统，根据特定的访问规则，

允许或限制数据包传输通过。

    防火墙一般是一种计算机硬件和软件的结合，使互联网和局域网之间建立起一个安全网关，

从而保护内部网络免受非法用户的入侵，防火墙主要由【服务访问规则】、【验证工具】、【包过滤】、

【应用网关】4个部分组成。

    防火墙一般具有以下作用

    1.数据包过滤

    数据包过滤是指监控通过的数据包的特征来决定放行或者阻止该数据包。防火墙通过数据包过滤

可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个IP的流量和连接数。

    2.数据包透明转发

    防火墙一般架设在提供某些服务的服务器前，用户对服务器的访问请求与服务器反馈给用户的信息，

都需要经过防火墙的转发，因此很多防火墙局部网关的能力。

    3.阻挡外部攻击

    如果用户发送的信息是防火墙设置所不允许的，防火墙立即将其阻断，避免其进入防火墙后面的服务器中

    4.记录攻击

    如果有必要，防火墙可以将攻击行为记录下来。

20.1.2 什么是包过滤防火墙

    包过滤防火墙是一种查看锁经过的数据包的包头，由此来决定丢弃(DROP)这个数据包，还是接收(ACCEPT)这个

数据包并让它通过，也可能执行其它更复杂的动作。

    包过滤防火墙可以使用以下的过滤策略。

    。拒绝来自某主机或某网段的所有连接

    。允许来自某主机或某网段的所有连接

    。拒绝来自某主机或某网段的指定端口的连接

    。允许来自某主机或某网段的指定端口的连接。

    。拒绝本地主机或本地网络与其他主机或其他网络的所有连接

    。允许本地主机或本地网络与其他主机或其他网络的所有连接

    。拒绝本地主机或本地网络与其他主机或其他网络的指定端口的连接

    。允许本地主机或本地网络与其他主机或其他网络的指定端口的连接。


    在过滤数据包时，基本过程如下：

    。包过滤规则必须被包过滤设备端口存储起来。

    。当数据包达到端口时，对数据包包头进行语法分析。大多数数据包顾虑设备只检查IP\
      
      TCP、或UDP包头中的字段。

    。包过滤规则以特殊的方式存储。应用于数据包的规则的顺序与包过滤器规则存储顺序必须相同。

    。如果一条规则阻止数据包传输或接收，则此数据包便不被允许

    。如果一条规则允许数据包传输或接收，则此数据包便可以被继续处理。

    。如果数据包不满足任何一条规则，则此数据包便被阻塞。

20.1.3 iptables简介

    iptable是一个用户态的防火墙应用软件，可以调整设定X表(Xtables)提供相关的系统表、链和规则来管理

网络数据包的流动与转送的动作，通常iptables对需要内核模块来配合运作，Xtables是主要在内核里面iptables API

运作功能的模块。

    iptables是与最新的Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或局域网、服务器或连接

局域网和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。

    防火墙在做数据包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成

在Linux内核中。在信息包过滤表中，规则被分组放在链中。而iptables IP数据包过滤系统是一款功能强大的工具，可用

于添加、编辑和移除规则。

   虽然iptables IP数据包顾虑系统被称为单个实体，但它实际上是由【netfilter】和【iptables】两个组件组成。

   。netfilter组件： 也称为内核空间，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包
     
过滤处理的规则集。

   。iptables组件：是一种工具，也称为用户空间，它使插入、修改和除去信息包过滤表中的规则变得容易。

   iptables的最大优点：它可以配置有状态的防火墙。有状态的防火墙能够指定并记住为发送和接收数据包所建立的连接

的状态。防火墙可以从数据包的连接跟踪状态获得该信息。在决定新的数据包过滤时，防火墙所使用的这些状态信息可以增加

其效率和速度。这里有4种有效状态，名称分别为：

   【1】ESTABLISHED状态：指出该数据包属于已建立的连接，该连接一直用于发送和接收数据包并且完全有效。

   【2】INVALID状态：指出该数据包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。

   【3】NEW状态：意味着该数据包已经或将启动新的连接，或者它与尚未用于发送和接收数据包的连接相关联。

   【4】RELATED状态：表示该数据包正在启动新连接，以及它与建立的连接相关联。

   iptables最重要的一个优点：它使用户可以完全控制防火墙配置和数据包过滤。可以定制自己的规则来满足特定需求，从而

只允许想要的网络流量进入系统。
 

20.2 iptables防火墙安装和配置

20.2.1 安装iptabls防火墙软件包

    。检查是否安装iptables软件包:iptables和iptables-devel

    -->rpm -qa|grep iptables

    iptables-1.4.7-11.el6.x86_64
    iptables-ipv6-1.4.7-11.el6.x86_64


    。安装

    -->yum install iptables iptables-devel -y


20.2.2 /etc/sysconfig/iptables文件详解

    该文件内容和使用iptables -S命令显示出来的内容相类似，通过查看该文件获取iptables

规则的信息。或直接查看iptables文件。

    -->more /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Tue May 26 16:15:36 2015
*nat
:PREROUTING ACCEPT [89:7630]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
COMMIT
# Completed on Tue May 26 16:15:36 2015
# Generated by iptables-save v1.4.7 on Tue May 26 16:15:36 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [193:17562]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Tue May 26 16:15:36 2015


20.2.3 控制iptables服务

    使用service和chkconfig命令可以控制iptables服务的状态，以及当iptables防火墙启动时自动启动服务。

    1.启动iptables服务

    -->service iptables start

       iptables：应用防火墙规则：                                 [确定]


    2.查看iptables服务运行状态

    -->service iptables status

表格：filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

表格：nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    REDIRECT   tcp  --  192.168.0.0/24       0.0.0.0/0           tcp dpt:80 redir ports 3128 

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         


    3.停止iptables服务

    -->service iptables stop

iptables：将链设置为政策 ACCEPT：filter nat                [确定]
iptables：清除防火墙规则：                                 [确定]
iptables：正在卸载模块：                                   [确定]


    4.重新启动iptables服务

    -->service iptables restart

iptables：将链设置为政策 ACCEPT：filter nat                [确定]
iptables：清除防火墙规则：                                 [确定]
iptables：正在卸载模块：                                   [确定]
iptables：应用防火墙规则：                                 [确定]

     5.开机自动启动iptables服务

     -->chkconfig iptables on

     -->chkconfig --list iptables

iptables       	0:关闭	1:关闭	2:启用	3:启用	4:启用	5:启用	6:关闭


20.2.4 保存和恢复iptables规则

    当配置了iptables规则之后，一定要记得保存iptables规则，以便将来在恢复的时候进行恢复使用。

    1.保存规则

    例20.1: 将iptables规则保存到/etc/iptables_save文件

    -->iptables-save > /etc/iptables_save  #注意/etc/iptables_save文件默认是没有的

    。查看保存的规则：

    -->cat /etc/iptables_save 

# Generated by iptables-save v1.4.7 on Fri Jun 19 09:46:06 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [59:5804]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Fri Jun 19 09:46:06 2015
# Generated by iptables-save v1.4.7 on Fri Jun 19 09:46:06 2015
*nat
:PREROUTING ACCEPT [22:1667]
:POSTROUTING ACCEPT [1:60]
:OUTPUT ACCEPT [1:60]
-A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
COMMIT
# Completed on Fri Jun 19 09:46:06 2015

    
    2.恢复规则

    使用iptables-restore命令可以将之前使用iptables-save命令保存的iptables规则恢复到当前系统中。

    例20.2 从/etc/iptables_save文件中恢复iptables规则

    -->iptables-restore < /etc/iptables_save 

     
    3.启动系统时使用保存的iptables规则

    使用service iptables save命令将iptables规则保存到/etc/sysconfig/iptables文件中，当Linux系统

在启动的时候会使用/etc/sysconfig/iptables文件所提供的规则进行恢复。

    例20.3 保存iptables规则

    -->service iptables save

      iptables：将防火墙规则保存到 /etc/sysconfig/iptables：     [确定]

20.3 iptables规则要素

    一条完整的iptables规则是由表、操作命令、链、规则匹配器和目标动作等5个要素组成。其中链名和目标动作

书写的时候一定要大写。

     iptables规则语法：

     iptables [-t 表] [操作命令] [链] [规则匹配器] [-j 目标动作]
                                  大写                  大写

20.3.1 表

     iptables目前支持如下表所示的4个表，4个表的优先级由高到第分别是：【raw】、【mangle】、【nat】和【filter】

                                          表 
     -----------------------------------------------------------------------------------------------------------
        表                描述                                                   支持的链
     -----------------------------------------------------------------------------------------------------------
       filter   netfilter默认表，过滤数据包设置                   INPUT、FORWARD和OUTPUT
     ------------------------------------------------------------------------------------------------------------
       nat      当数据包建立新的连接时，nat表能够修改数据包，     PREROUTING、OUTPUT和POSTROUTING
                完成网络地址转换
     ------------------------------------------------------------------------------------------------------------
       mangle   用在数据包的特殊变更操作，比如修改TOS特性         PREROUTING、OUTPUT、INPUT、FORWARD和POSTROUTING
     ------------------------------------------------------------------------------------------------------------
       raw      优先级最高，设置raw一般是为了不再让iptables做     PREROUTING和OUTPUT
                数据包的连接跟踪处理，提高性能。
     ------------------------------------------------------------------------------------------------------------

20.3.2 链

    链是数据包传播的路径，一条链就是规则的一个检查清单，每一条链中可以有一条或多条规则。当一个数据包达到一个链时，

iptables就会从第一条骨子额开始检查，查看该数据包是否满足规则所定义的条件，决定是否按预定于的方法处理该数据包，如果

包头不符合链中的规则，iptables就会根据该链的默认策略来处理数据包。
   
    iptables链，不同的链只能在不同的iptables表中使用，除了使用慕容恩的链，还可以由用户创建自定义的链。

                                               链
    ---------------------------------------------------------------------------------------------
         链                                               描述
    ---------------------------------------------------------------------------------------------
      INPUT         过滤所有目标地址是本机的数据包(对进入本机数据包的过滤)
    ---------------------------------------------------------------------------------------------
      OUTPUT        过滤所有本机产生的数据包(对源地址的数据包的过滤)
     ---------------------------------------------------------------------------------------------
      FORWARD       过滤所有经过本机的数据包(源地址和目标地址都不是本机的数据包)
     ---------------------------------------------------------------------------------------------
      POSTROUTING   数据包达到防火墙时改变数据包的目的地址
     ---------------------------------------------------------------------------------------------

     iptables五条链的相互关系

     -->PREROUTING--->路由选择--->FORWARD--->POSTROUTIGN---->
                        |                        ^
			|                        |
                        V                        |
		       INPUT                    OUTPUT
		        |                        ^
			|------->本地处理进程----|


			    iptables链相互关系

  
20.3.3 目标动作

    目标动作是指当规则匹配器处理一个数据包的时候，真正要执行的任务，比如是允许数据包通过还是

 丢弃数据包。-j参数用来指定要进行的目标动作，常用的目标动作如下表所示：

                                 目标动作
     ---------------------------------------------------------------------------------------------
      目标动作                                  描述
     ---------------------------------------------------------------------------------------------
       ACCEPT                  允许数据包通过
     ---------------------------------------------------------------------------------------------
       DROP                    丢弃数据包
     ----------------------------------------------------------------------------------------------
       REJECT                  拒绝数据包，丢弃数据包的同时给发送者发送没有接收的通知
     ----------------------------------------------------------------------------------------------
       LOG                     数据包的有关信息被记录到日志中
     ------------------------------------------------------------------------------------------------
       TOS                     改写数据包的ToS(Type of Service,服务类型）值
     ------------------------------------------------------------------------------------------------
       QUEUE                   中断过滤程序，将数据包放入队列，交给其他程序处理。透过自行
                               开发的处理程序，可以进行其他应用
     -------------------------------------------------------------------------------------------------
       RETURN                  结束在目前规则链中的过滤程序，返回主规则链继续过滤，如果把自订
                               规则链看成是一个子程序，那么这个动作就相当于提早结束子程序并返回
			       到主程序中。
      ------------------------------------------------------------------------------------------------
       SNAT                    改写数据包来源IP地址为某特定IP地址或IP地址范围，可以指定端口对应
                               的范围，进行完成处理动作后，将直接跳往下一个规则链。
      ------------------------------------------------------------------------------------------------
       DNAT                    改写封包目的地IP地址为某特定IP地址或IP地址范围，可以指定端口对应的
                               范围，进行完成此处理动作后，将直接跳往下一个规则链。
      ------------------------------------------------------------------------------------------------
       REDIRECT                将数据包重新导向到另一个端口，进行完此处理动作后，将会继续对比它规则。
                               这个功能可以用来实现通透式代理或用来保护Web服务器。
      ------------------------------------------------------------------------------------------------
       MASQUREADE              只适用于nat表的POSTROUTING链。它应该只被用来动态分配的IP（拨号）连接，从
                               而实现IP伪装。
      -------------------------------------------------------------------------------------------------
       MIRROR                  镜射数据包，也就是将来源IP地址与目的地IP地址对调后，将数据包送回，进行完成
                               此处理动作后，将会中断过滤程序。
      ---------------------------------------------------------------------------------------------------
       MARK                    将数据包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完成此处理动作
                               后，将会继续比对其它规则。
      ---------------------------------------------------------------------------------------------------                              

                               
20.3.4 操作命令

    操作命令时指执行iptables时锁需的凑走，比如添加、删除、插入、列出规则等
        
	                               操作命令
    ------------------------------------------------------------------------------
        操作命令                                       描述
    ------------------------------------------------------------------------------
          -A                      在指定链的链尾添加规则
    ------------------------------------------------------------------------------
          -D                      从指定链中删除匹配的规则
    -----------------------------------------------------------------------------
          -R                      在指定链中替换匹配的规则
    ------------------------------------------------------------------------------
          -I                      以指定规则号在所选链中插入规则
    ------------------------------------------------------------------------------
          -L                      列出指定链或所有链的规则
    ------------------------------------------------------------------------------
          -S                      显示指定链或所有链的规则
    ------------------------------------------------------------------------------
          -F                      在指定或所有链中删除所有规则
    ------------------------------------------------------------------------------
          -N                      指定名称创建新的用户自定义链
    -------------------------------------------------------------------------------
          -X                      删除指定的用户自定义链
    -------------------------------------------------------------------------------
          -P                      在内置链上设置默认规则策略，用户自定义链不起作用
    -------------------------------------------------------------------------------
          -Z                      将指定链或所有链中所有规则的包字节计数器清零。
    ------------------------------------------------------------------------------
          -E                      更改用户自定义链的名称
    -------------------------------------------------------------------------------
          -v                      输出详细信息 
    -------------------------------------------------------------------------------
          -n                     数字输出，IP地址和端口号将被以数字格式显示
    --------------------------------------------------------------------------------
          -x                     扩大数字，显示包和字节计数器的精确值
    --------------------------------------------------------------------------------


    1.查看iptables规则

    例20.4 列出所有链的规则(默认为filter表)

    -->iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination     

    例20.5 将IP地址和端口号以数字格式显示列出所有链的规则

    -->iptables -nL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         


    例20.6 详细列出所有链的规则

    -->iptables -vL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
27279   40M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh 
14566 1213K REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 19799 packets, 1045K bytes)
 pkts bytes target     prot opt in     out     source               destination      
 
    注意：不能使用iptables -Lv命令，使用该命令将会出现以下错误信息：

    -->iptables -Lv
    iptables: No chain/target/match by that name.

    正确命令: iptables -vL


    例20.7 列出INPUT链的规则

    -->iptables -L INPUT

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED        #1号INPUT规则
ACCEPT     icmp --  anywhere             anywhere                                             #2号INPUT规则
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

    例20.8 列出INPUT链的1号规则

    -->iptables -L INPUT 1

       ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 


    例20.9 显示所有链的规则

    -->iptables -S

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

    例20.10 详细显示所有链的规则

    -->iptables -vS

-P INPUT ACCEPT -c 0 0
-P FORWARD ACCEPT -c 0 0
-P OUTPUT ACCEPT -c 20315 1075019
-A INPUT -m state --state RELATED,ESTABLISHED -c 27444 40315072 -j ACCEPT 
-A INPUT -p icmp -c 0 0 -j ACCEPT 
-A INPUT -i lo -c 0 0 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -c 0 0 -j ACCEPT 
-A INPUT -c 15976 1340121 -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -c 0 0 -j REJECT --reject-with icmp-host-prohibited 


    注意不能使用iptables -Sv命令，否则报错：

    -->iptables -Sv

    iptables: No chain/target/match by that name.

    正确命令：iptables -vS

    
    例20.11 显示INPUT链的规则

    -->iptables -S INPUT

-P INPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 


    例20.12 显示INPUT链的1号规则

    -->iptables -S INPUT 1

       -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

    
    2.清除指定链和表中的所有规则

    例20.13：清除所有链的规则（默认为filter表)

    -->iptables -F
    
    -->iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      


    执行完为了后续操作先恢复下：iptables-restore < /etc/iptables_save 

    例20.14：清除INPUT链的所有规则

    -->iptables -F INPUT

    -->iptables -L INPUT

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

    执行完为了后续操作先恢复下：iptables-restore < /etc/iptables_save 

    3.清除计数器

    例20.15 将所有链中的规则的包字节计数器清零

    -->iptables -vL


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   25  1840 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh 
  200 16571 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 80 packets, 4296 bytes)
 pkts bytes target     prot opt in     out     source               destination   


   -->iptables -Z

   -->iptables -vL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   16  1160 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh 
   38  3212 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 16 packets, 1260 bytes)    ------------------------------#这里的包大小已经改变
 pkts bytes target     prot opt in     out     source               destination   

    例20.16 将INPUT链中的规则的包字节计数器清零

    -->iptables -Z INPUT 

    -->iptables -vL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   80  6252 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh 
   72  5616 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 81 packets, 6356 bytes)
 pkts bytes target     prot opt in     out     source               destination         


    例20.17 将INPUT链中的1号规则的包字节计数器清零

    -->iptables -Z INPUT 1

    -->iptables -vL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   396 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh 
  188 15291 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 19 packets, 1032 bytes)


    4.设置默认则策略

    例20.18：在INPU、OUTPUT和FORWARD链上设置默认规则策略为DROP(拒绝所有数据包)

    -->iptables -P INPUT DROP    

    -->iptables -P OUTPUT DROP    

    -->iptables -P FORWARD DROP  

    -->iptables -L                #列出所有链的规则


    例20.19 在INPUT、OUTPUT和FORWARD链上设置默认规则策略为ACCEPT（允许所有数据包）

    -->iptables -P INPUT ACCEPT

    -->iptables -P OUTPUT ACCEPT

    -->iptables -P FORWARD ACCEPT

    5.添加规则

    例20.20 在INPUT链上添加规则，协议为tcp，目标端口号是21

    -->iptables -A INPUT -p tcp --dport 21

    -->iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21  --------------------------#可以看到端口号预计净添加

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination         


    6.插入规则

    例20.21 在INPUT链上插入规则，协议为tcp，目标端口号是23，规则号是1

    -->iptables -I INPUT 1 -p tcp --dport 23
    
    -->iptables -L

iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23 ----------------------#23端口已经添加到第一条规则中
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination         


    7.替换规则

    例20.22 在INPUT链上替换规则号1的iptables规则，将目标端口号更改为24

    -->iptables -R INPUT 1 -p tcp --dport 24

    -->iptables -nL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:24 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination       


   8.删除规则

   例20.23 在INPUT链上删除规则号是1的iptables规则

   -->iptables -D INPUT 1

   -->iptables -nL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
           tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination         



    9.创建用户自定义链

    例20.24 创建用户自定义链WWW
    
    -->iptables -N WWW
 
    列出用户自定义链WWW

    -->iptables -L WWW

Chain WWW (0 references)
target     prot opt source               destination 

    10. 更改用户自定义的链的链名

    例20.25：更改用户自定义链WWW的名称为OOO

    -->iptables -L OOO

Chain OOO (0 references)
target     prot opt source               destination      

    11.删除用户自定义链

    例20.26 删除用户自定义链OOO

    -->iptables -X OOO

    -->iptables -L OOO

       iptables: No chain/target/match by that name.


    例20.27 删除所有的用户自定义链

    -->iptables -X

      iptables: Too many links.

    -->iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
           tcp  --  anywhere             anywhere            tcp dpt:ftp 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DOCKER     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (1 references)
target     prot opt source               destination      

20.3.5 基本规则匹配器

    基本规则匹配器用于匹配数据包中的协议、IP地址、端口号、接口和ICMP类型等。


                                                  基本规则匹配器
    -----------------------------------------------------------------------------------------------------
       基本规则匹配器                                     描述
    ------------------------------------------------------------------------------------------------------
        -p protocol           匹配协议，比如tcp、udp、icmp或all，all会匹配所有协议，前缀"!"为逻辑非，表示该
	                      除该协议外的所有协议。

        或--protocol          指定匹配规则的通讯协议，如tcp、udp、icmp、all，如未指定则匹配所有通讯协议。
	[!]protocol    
    ------------------------------------------------------------------------------------------------------
        -s address[/mask]     匹配源地址。地址可以是一个网络名、主机名、网络IP地址（带有/掩码），或者一个
	                      普通的IP地址
    ------------------------------------------------------------------------------------------------------
        -d address[/mask]                匹配目的地址或目的地址范围
	或--destination[!]address[/mask]
    -------------------------------------------------------------------------------------------------------
        --sport port[:port]  匹配源端口
    -------------------------------------------------------------------------------------------------------
        --dport port[:port]                  匹配目的端口或目的端口范围，可用端口号，也可用/etc/servcies文件中
	或--destination-port[!]port [:port]  的名字、端口范围格式xxx:yyy
    -------------------------------------------------------------------------------------------------------
        -o  name             匹配将被发送数据包的接口名称（只适用于从FORWARD、OUTPUT和POSTROUTING链输出的数据
	                     包）。如果接口名称结尾有一个“+”，表示匹配所有此类接口。

	或：--out-interface  指定匹配规则对外网络接口名，默认则符合所有接口，可制定暂未工作的接口，待其工作后
	[!]interface name[+] 才起作用，该选项只对OUTPUT、FORWARD和POSTROUTING链是合法的。
    -------------------------------------------------------------------------------------------------------
        -i  name             匹配数据包被接受的接口的名称（只适用于数据包进入INPUT、FORWARD和PREROUTING链）。
        --in-iinterface      如果接口名称结尾有一个"+"，表示匹配所有此类接口。
        [!]interface name[+]
	                     其它解释：指定匹配规则的对内网接口名、默认则符合所有接口， 可指定暂未工作的接口，
	                     待其工作后才起作用，该选项只对INPUT、FORWARD和PREROUTING链是合法的。
    -------------------------------------------------------------------------------------------------------
        -f                   指定数据包的第二个和以后的IP碎片
    -------------------------------------------------------------------------------------------------------
        -c packets bytes     使得管理员可以初始化规则的数据包和字节计数器(INSERT、APPEND和REPLACE操作)
    ---------------------------------------------------------------------------------------------------------------
        -icmp-type {type[/code]|typename}  匹配ICMP类型（使得iptables -p icmp -h命令查看有效的ICMP类型名)

	[!]typename           指定匹配规则的ICMP消息类型，选项后需要一个icmp名称类型、数字类型(如3）、或一对
	                      用/分割的数字类型和编码(如3/3）,可用以下命令查看有效的icmp类型名表:iptables -p icmp -h
    ------------------------------------------------------------------------------------------------------------------
        -tcp-flags mask comp  匹配TCP标记。有两个参数，第一个参数提供检查范围，第二个参数提供被设置的条件。
	                      这个匹配操作可以识别以下标记：SYN、ACK、FIN、RST、URG、PSH。另外还有ALL和NONE。
                              ALL是指选定所有的标记，NONE是指未选定任何标记。如果指定多个标志，则每个标志间需以逗号分隔。		     
    -------------------------------------------------------------------------------------------------------------------
        -j或-jump             指定规则的目标动作或跳转，如未指定则此规则无任何效果。
    -------------------------------------------------------------------------------------------------------------------
        --tcp-option          这个选项后需接一个数字，用于匹配tcp选项等于该数字的数据包。如果需要检查tcp选项，那些
                              tcp表头部完整的数据包就会被自动删除。
    ------------------------------------------------------------------------------------------------------------------
        -l                    在系统日志/var/log/messages中记录与该规则匹配的数据包
    ------------------------------------------------------------------------------------------------------------------
        -v                    详细输出
    -------------------------------------------------------------------------------------------------------------------
        -n                    当显示时，不对IP地址进行DNS查找
    -------------------------------------------------------------------------------------------------------------------
        [!]-y                 -y表明tcp握手中的连接请求标志位SYN; !-y表示对该请求的响应。
    -------------------------------------------------------------------------------------------------------------------
        [!]-syn               指定仅仅匹配设置了SYN位，清除了ACK、FIN位的TCP包，该参数仅针对TCP协议类型使用  
    -------------------------------------------------------------------------------------------------------------------
        -m   -state           标记数据包
    -------------------------------------------------------------------------------------------------------------------


    1.指定协议

    -->iptables -A INPUT -p tcp -j ACCEPT

    -->iptables -A INPUT -p udp -j ACCEPT

    2.指定ICMP类型

    -->iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

       可用以下命令查看有效的icmp类型名表:iptables -p icmp -h

    -->iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

    -->iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

    3.指定IP地址

    -->iptables  -A INPUT -s 192.168.0.204 -j ACCEPT

    -->iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT

    4.指定接口

    -->iptables -A INPUT -i eth0 -j ACCEPT

    -->iptables -A FORWARD -o eth0 -j ACCEPT   #过滤经过本机的数据包，匹配将被发送数据包的接口名称，允许

    -->iptables -A FORWARD -o ppp+ -j ACCEPT   #“+”，表示匹配所有此类接口。

    5.指定端口号

    -->iptables -A INPUT -p tcp --sport www -j ACCEPT     #匹配源服务

    -->iptables -A INPUT -p tcp --sport 80 -j ACCEPT      #匹配源端口

    -->iptables -A INPUT -p tcp --dport 53 -j ACCEPT      #匹配目的端口

    -->-j ACCEP    #匹配源端口22、80


    6.指定IP碎片

    -->iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 192.168.1.200 --dport 80 -j ACCEPT #匹配源地网段，目标IP，目标端口80 允许

    -->iptables -A FORWARD -f -s 192.168.0.0/24 -d 192.168.1.200 -j ACCEPT   # 匹配源地址网段、匹配目的地址


    7.指定TCP标记

    -->iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j ACCEPT   # 匹配TCP标记。有两个参数，第一个参数提供检查范围，第二个参数提供被设置的条件。
                                                                     ALL是指选定所有的标记，NONE是指未选定任何标记
    -->iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j ACCEPT
  
    -->iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j ACCEPT



20.3.6 扩展规则匹配器
   
   除了基本的规则匹配器之外，还有扩展的规则匹配器，比如limit、owner、tos、statistic、timettl、multiport、state、mark、mac、comment和quota

   1. limit

   匹配过滤器限制速率。使用limit可以对指定的规则的日志数量加以限制，以免被信息的洪流淹没。

   比如：事先设定一个限定值，当符合条件的数据包的数量不超过它时就记录，超过了就不记录了。可以控制某条规则在一段时间内的匹配次数，这样能够减少

DoS SYN Flood攻击(是拒绝服务攻击的一种方式)的影响。    

                                                     limit 
   ---------------------------------------------------------------------------------------------------------------------------
       规则匹配器                                           描述
   ----------------------------------------------------------------------------------------------------------------------------
     --limit-burst number                       匹配最大初始数据包数量，默认值是5
   -----------------------------------------------------------------------------------------------------------------------------
     --limit rate[/second|/minute|/hour|/day]  最大平均匹配速率，也就是单位时间内可以匹配几个数据包，指定为数字，默认为3/hour.
                                               后缀以/second、/minute、/hour或/day表示
   -----------------------------------------------------------------------------------------------------------------------------
     
     实例：

     -->iptables -A INPUT -m limit --limit 1000/hour -j ACCEPT   #每小时1000个数据包

     -->iptables -A INPUT -m limit --limit-burst 15 -j ACCEPT    #最大初始数据包是15

     -->iptables -A INPUT -m limit --limit 5/m --limit-burst 15 -j ACCEPT  #每分钟5个数据包，初始数据包数量15


     2.owner

     用来对本地产生的数据包匹配数据包创建者的各种特性(用户名、用户UID、组群名或组群GID),只适用于OUTPUT和POSTROUTING链。

     转发的数据包没有任何socket关联他们。从内核线程的数据包也有一个socket但通常没有所有者。

                                             owner
     -------------------------------------------------------------------------------------------------------
          规则匹配器                                                描述
     -------------------------------------------------------------------------------------------------------
       --uid-owner username         按生成数据包的用户的名称来匹配外出的数据包
     -------------------------------------------------------------------------------------------------------
       --uid-owner userid[-userid]  按生成数据包的用户的ID(UID)来匹配外出的数据包
     --------------------------------------------------------------------------------------------------------
       --gid-owner groupname        按生成包的用户所在组群的名称来匹配外出的数据包
     --------------------------------------------------------------------------------------------------------
       --gid-owner groupid[-groupid] 按生成包的用户所在群组的ID (GID)来匹配外出的数据包
     --------------------------------------------------------------------------------------------------------
       --socket-exists               如果数据包与一个套接字相关联则匹配
     --------------------------------------------------------------------------------------------------------
    
     以下是iptables指定owner的示例：


     匹配本地产生的数据包（出去）

     -->iptables -A OUTPUT -m owner --uid-owner 500 -j ACCEPT    

     -->iptables -A OUTPUT -m owner --uid-owner zhangsan -j ACCEPT

     -->iptables -A OUTPUT -m owner --uid-owner 500-600 -j ACCEPT

     -->iptables -A OUTPUT -m owner --gid-owner 0 -j ACCEPT

     -->iptables -A OUTPUT -m owner --gid-owner root -j ACCEPT

     -->iptables -A OUTPUT -m owner --gid-owner 0-2 -j ACCEPT


    3.tos

    用来根据TOS字段匹配数据包。TOS(Type Of Service，服务类型)是IP头的一部分，由8个二进制位组成，

包括一个3位的优先权字段（现在已被忽略)，4位的TOS子字段和1位未用位（必须置0）

                                  tos
    ---------------------------------------------------------------------------------------------------------------------------------------
         规则匹配器                                                 描述
    ---------------------------------------------------------------------------------------------------------------------------------------
      --tos value[/mask]     使用指定的TOS标记值匹配数据包
    ---------------------------------------------------------------------------------------------------------------------------------------
                             当使用TOS匹配IPV4时指定一个符号名，该内容可以是16进制数，也可以是十进制数，还可以是
			     相应的名字。
                             可以设置为以下内容：
			     Minimize-Delay 16 (0x10): 要求找一条路径使延时最小，一些标准服务(比如telnet、SSH、FTP-control)
	tos symbol  	                               就需要这个选项
			     Maximize-Throughput 8(0x08) :要求找一条路径能使吞吐量最大，标准服务FTP-data能用到这个。
			     Maximize-Reliability 4(0x04):要去找一条路径能使可靠性最高，使用它的有BOOTP和TFTP
                             Minimize-Cost 2(0x02); 要求找一条路径能使费用最低，一般情况下使用这个选项的是一些视频音频、流协议。（比如RTSP)
			     Normal-Service 0 (0x00):一般服务，没有什么特殊要求。
    ---------------------------------------------------------------------------------------------------------------------------------------

    示例：

    -->iptables -A INPUT -p tcp -m tos --tos 0x10 -j ACCEPT

    -->iptables -A INPUT -p tcp -m tos --tos 16 -j ACCEPT

    -->iptables -A INPUT -p tcp -m tos --tos Minimize-Delay -j ACCEPT
    
    4. statistic

    用来匹配基于一些统计条件的数据包

                                         statistic可以使用的规则匹配器表
    ----------------------------------------------------------------------------------------------------------
        规则匹配器                                            描述
    ----------------------------------------------------------------------------------------------------------
       --mode mode                    设置规则匹配的匹配模式，支持的模式是random或nth
    ----------------------------------------------------------------------------------------------------------
       --probability p                为数据包设置概率为0~1，只工作在random模式
    ----------------------------------------------------------------------------------------------------------
       --envery n                     每n个数据包匹配一个数据包，只工作在nth模式
    ----------------------------------------------------------------------------------------------------------
       --packet p                     设置计数器的初始值(0<=P<=n-1，默认为0），只工作在nth模式
    ----------------------------------------------------------------------------------------------------------

    示例：

    -->iptables -A INPUT -m statistic --mode random

    -->iptables -A INPUT -m statistic --mode random --probability 1

    -->iptables -A INPUT -m statistic --mode nth --every 
    
    5. time

    如果数据包达到时间/日期是在指定范围内则匹配

                                         time可以使用的规则匹配器
     ----------------------------------------------------------------------------------------------------
        规则匹配器                                          描述 
     ---------------------------------------------------------------------------------------------------
       --utc                      为--datestart、--datestop、--timestart和--timestop指定UTC
     ----------------------------------------------------------------------------------------------------
       --monthdays day[,day..]    仅在每月的指定天相匹配，可能的值是1~31
     -----------------------------------------------------------------------------------------------------
       --timestart hh:mm[:ss]     只匹配指定的开始时间，可能的时间范围是00:00:00~23:59:59
     ----------------------------------------------------------------------------------------------------
       --timestop hh:mm[:ss]      只匹配指定的结束时间，可能的市价那范围是00:00:00~23:59:59
     -----------------------------------------------------------------------------------------------------
       --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]  只匹配指定的开始日期，能的日期范围为1970-01-01 T00:00:00
                                  ~2038-01-19T04:17:07,如果没有指定，那么默认为1970-01-01~2038-01-19
     -----------------------------------------------------------------------------------------------------
       --datestop  YYYY[-mm[-dd[Thh[:mm[:ss]]]]   只匹配指定的结束日期可能的日期范围为1970-01-01 T00:00:00
                                  ~2038-01-19T04:17:07,如果没有指定，那么默认为1970-01-01~2038-01-19
     -----------------------------------------------------------------------------------------------------
       --weekdays day[,day...]    只匹配指定的工作日，可能的值分别是Mon、Tue、Wed、Thu、Fri、Sat、Sun,
                                  或1到7的值。也可以使用两个字符的变种(比如Mo、Tu)
     -----------------------------------------------------------------------------------------------------
       --localtz                  为本地内核时间指定时间为--datestart、--datestop、--timestart和--timestop
     -----------------------------------------------------------------------------------------------------

     示例：


     -->iptables -A INPUT -m time --weekdays Sa,Su -j ACCEPT

     -->iptables -A INPUT -m time --datestart 2018-3-2 --datestop 2018-12-9 -j ACCEPT

     -->iptables -A INPUT -m time --timestart 12:30 --timestop 13:30 -j ACCEPT

     -->iptables -A INPUT -m time --weekdays Fr --monthdays 22,23,24,25,26,27,28 -j ACCEPT

     -->iptables -A INPUT -m time --datestart 2018-01-01T17:00 --datestop 2018-01-01T23:59:59 -j ACCEPT


     6.ttl

     用于在IP头中匹配TTL(Time To Live，生存期）字段。TTL字段是一个字节（8个二级制位)，一旦经过一个处理它的路由器，

 它的值就减去1.当该字段的值建为0时，数据包就会被认为是不可转发，数据包就被丢弃，并发送ICMP报文通知源主机。

                                                ttl可以使用的规则匹配器
     -------------------------------------------------------------------------------------------------
         规则匹配器                                              描述 
     --------------------------------------------------------------------------------------------------
       --ttl-eq ttl                   匹配指定的TTL值
     --------------------------------------------------------------------------------------------------
       --ttl-gt ttl                  如果TTL大于指定的TTL值就匹配
     --------------------------------------------------------------------------------------------------
       --ttl-lt ttl                  如果TTL小于指定的TTL值就匹配
     --------------------------------------------------------------------------------------------------

     示例：

     -->iptables -A OUTPUT -m ttl --ttl-eq 100 -j ACCEPT

     -->iptables -A OUTPUT -m ttl --ttl-gt 100 -j ACCEPT

     -->iptables -A OUTPUT -m ttl --ttl-lt 100 -j ACCEPT


    7.multiport

    用来匹配一组源端口或目标端口，最多可以指定15个端口，它只能在使用-p tcp或-p udp时结合使用。

可以以port:port的方式指定一个端口范围。


    注意：不能在一条iptablers规则里同时使用标准端口匹配和多端口匹配，比如：

    -->iptables -A INPUT -p tcp --dport 53 -m multiport --dport 21,23,80 -j ACCEPT

    iptables v1.4.7: Only one `--destination-port' allowed
    Try `iptables -h' or 'iptables --help' for more information.


                                  multiport规则匹配器表
    ------------------------------------------------------------------------------
       规则匹配器                                   描述
    ------------------------------------------------------------------------------
      --sports port[,port|port]                   匹配源端口
    ------------------------------------------------------------------------------
      --dports port[,port|,port:port]             匹配目标端口
    ------------------------------------------------------------------------------
      --ports port[,port|,port:port]              匹配源端口或目标端口
    ------------------------------------------------------------------------------

    示例：

    -->iptables -A INPUT -p tcp -m multiport --sport 22,80,53,25,110,143,21 -j ACCEPT

    -->iptables -A INPUT -p tcp -m multiport --dport 22,80,53,25,110,143,21 -j ACCEPT

    -->iptables -A INPUT -p tcp -m multiport --port 22,80,53,25,110,143,21 -j ACCEPT


    8. state

    状态匹配扩展就要有内核里的连接跟踪代码的协助，因为它是从连接跟踪机制中得到数据包的状态。

针对每一个连接都有一个默认的超时值，如果连接的时间超过了这个值，那么这个连接的记录就会从连接

跟踪的记录数据库中删除，也就是说连接就不存在了。

                                          state可以使用的规则匹配器
     -----------------------------------------------------------------------------------------------------------
        规则匹配器                              描述
     -----------------------------------------------------------------------------------------------------------
        --state state   指定能够要匹配数据包的连接状态，当前有4种状态可用：INVALID、ESTABLISHED、NEW和RELATED
     -----------------------------------------------------------------------------------------------------------

     示例：

     -->iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

     -->iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT


    9.mark

    以数据包被设置的mark来匹配数据包，这个值只能由内核更改。mark不是数据包本身的一部分，而是在包穿越计算机的过程中

 由内核分配的和它相关联的一个字段。它可能被用来改变包的传输路径或过滤


                                                      mark可以使用的规则匹配器
	--------------------------------------------------------------------------------------------------
	    规则匹配器                                             描述
	--------------------------------------------------------------------------------------------------
	   --mark value[/mark]                  以数据包被设置的mark值来匹配数据包
	--------------------------------------------------------------------------------------------------

	示例：

	-->iptables -t mangle -A INPUT -m mark --mark 1

	   mangle   用在数据包的特殊变更操作


    10. mac

    用来匹配MAC源地址. 

                                                 mac可以使用的规则匹配器
	--------------------------------------------------------------------------------------------------------
	   规则匹配器                                描述
	--------------------------------------------------------------------------------------------------------
	   --mac-source address          匹配MAC源地址，只适用于PREROUTING、FORWARD或INPUT链
	--------------------------------------------------------------------------------------------------------

	示例：指定mac

	--> iptables -A FORWARD -p tcp -m mac --mac-source 00:0C:29:EE:FA:05 -j ACCEPT


    11.comment

    允许添加注释到任何规则

    comment可以使用的规则匹配器

                                      comment
    -------------------------------------------------------------------------------
       规则匹配器                           描述
    -------------------------------------------------------------------------------
       --comment comment            指定注释内容
    -------------------------------------------------------------------------------

    示例：

    -->iptables -A INPUT -s 192.168.0.0/24 -m comment --comment "A privatized IP block" -j ACCEPT

    
    12. quota

    为每一个数据包递减一个字节计数器实现网络配额

                                             quota
    ----------------------------------------------------------------------------
      规则匹配器                              描述
    -----------------------------------------------------------------------------
      --quota bytes                指定配额，单位为字节
    -----------------------------------------------------------------------------

    示例

    -->iptables -A INPUT -m quota --quota 1024 -j ACCEPT

20.3.7 其它iptables目标动作

    iptables目标动作除了常用的ACCEPT和DROP之外。还有LOG、TTL、ULOG、MARK、REGECT和TOS目标动作。

    1. LOG

    LOG目标动作打开匹配的数据包的内核日志。

                                       LOG目标动作可以使用的选项表
    -----------------------------------------------------------------------------------------------------------
        选项                                                     描述
    -----------------------------------------------------------------------------------------------------------
     --log-tcp-options    记录TCP数据包头中的字段大小不变的选项
    -----------------------------------------------------------------------------------------------------------
     --log-ip-options     记录IP数据包头中的字段大小不变的选项
    -----------------------------------------------------------------------------------------------------------
     --log-uid            登录生成数据包的进程的用户ID
    -----------------------------------------------------------------------------------------------------------
     --log-level level    设置日志记录级别，可以设置为debug、info、notice、warning、warn、err、error、crit、
                          alert、emerg或panic，其中error和err，warn和warning、panic和emerg分别是同义词，即作用
			  完全一样
    -----------------------------------------------------------------------------------------------------------
     --log-tcp-sequence   把数据包的TCP序列号和其它日志信息一起记录下来。TCP序列号可以唯一标识一个包，在重组时
                          也是用它来确定每个分组在包里的位置
    -----------------------------------------------------------------------------------------------------------
     --log-prefix prefix   在记录的信息之前加上指定的前缀。这样和grep或其他工具一起使用时就容易追踪特定的问题，
                           而且也方便从不同的规则输出。前缀最多能有29个英文字符，这已经是包括空白字符和其它特殊
			   符号的总长度了。
    -----------------------------------------------------------------------------------------------------------


    示例：

    -->iptables -A FORWARD -m tcp -p tcp -j LOG

    -->iptables -A FORWARD -p tcp -j LOG --log-level debug

    -->iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"

    -->iptables -A INPUT -p tcp -j LOG --log-tcp-sequence

    -->iptables -A FORWARD -p tcp -j LOG --log-tcp-options

    -->iptables -A FORWARD -p tcp -j LOG --log-ip-options



    2.TTL

    TTL目标动作用于修改IPv4 TTL头字段。TTL字段决定一个数据包有多少跳数（路由器）可以遍历，直到它的生存时间已过，
    
Linux系统默认的TTL是64。社会自或递增TTL字段有可能是非常危险的，所以应该不惜一切代价避免。


                                        TTL目标动作选项表
     ----------------------------------------------------------------------------------
         选项                            描述
     ----------------------------------------------------------------------------------
      --ttl-set value          设置TTL的值
     ----------------------------------------------------------------------------------
      --ttl-dec value          设置TTL要被减掉的值
     ----------------------------------------------------------------------------------
      --ttl-inc value          设定TTL要被增加的值
     ----------------------------------------------------------------------------------

     示例：

     -->iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

     -->iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 1

     -->iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1


    3. ULOG

    ULOG目标动作提供了匹配的数据包的用户空间记录。当这个目标被设定为一个规则，Linux内核将通过一个连接socket组播

数据包。然后一个或多个用户空间的进程可以订阅变量组播组并接收数据包。像LOG一样，这是一个“非终端目标”，即规则遍历

继续到下一个规则。

                                ULOG目标动作选项
    -------------------------------------------------------------------------------------------
        选项                               描述
    -------------------------------------------------------------------------------------------
       --ulog-nlgroup nlgroup    指定向哪个netlink组发送包。一个有32个netlink组，它们被简单地
                                 编号位1~32，默认值是1
    -------------------------------------------------------------------------------------------
       --ulog-prefix prefix      指定记录信息的前缀，以便区分不同的信息。使用方法和LOG的prefix
                                 一样，只是长度可以达到32个字符。
    -------------------------------------------------------------------------------------------
       --ulog-cprange size       指定每个数据包要向"ULOG在用户空间的代理” 发送的字节数据。默认值
                                 是0，表示复制整个数据包，不管它多大。
    -------------------------------------------------------------------------------------------
       --ulog-qthreshold size    告诉ULOG在向用户空间发送数据以供记录之前，要在内核例收集的数据
                                 包的数量。默认值是1，这是为了向后兼容，因为以前的版本不能处理
				 分段的信息。
    -------------------------------------------------------------------------------------------

    示例：

    -->iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-nlgroup 2

    -->iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix "SSH connection attempt:"

    -->iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-cprange 100

    --> iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-qthreshold 10


  
    4.MARK

    MARK目标动作用来设置与数据包相关联的Netfilter mark值，该目标动作只能被使用在mangle表，不能用在

其它表，该标志字段宽度为32位。因为mark比较特殊，它不是数据包本身的一部分，而是在数据包穿越计算机的

过程中由内核分配的和它相关联的一个字段。它可以和本地的高级路由功能联用，以使不同的包能使用不同的队列

要求。

       
                                       LOG目标动作可以使用的选项表
    -----------------------------------------------------------------------------------------------------------
        选项                                                     描述
    -----------------------------------------------------------------------------------------------------------
      --set-mark valu[/mask]     设置mark值，该值是一个无符号的整数
    -----------------------------------------------------------------------------------------------------------


    示例：

    -->iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2


    5. REJECT

    REJECT目标动作和DROP基本一样，区别在于它除了阻塞包之外，还向发送者发挥错误信息。这个目标动作只适用于INPUT、

 FORWARD和OUTPUT链及用户自定义链。





                                       LOG目标动作可以使用的选项表
    -----------------------------------------------------------------------------------------------------------
        选项                                                     描述
    -----------------------------------------------------------------------------------------------------------
                             应向发送者返回什么样的信息。一旦数据包满足了设定的条件，就要发送相应的信息，然后再
      --reject-with type     像DROP一样抛弃那些数据包
                             可以使用的信息类型有：icmp-net-unreachable、icmp-host-unreachable、icmp-port-unreachable、
			     icmp-proto-unreachable、icmp-net-prohibited、icmp-host-prohibited、icmp-admin-prohibited 
			     最后一个类型是tcp-reset，只能用于TCP协议，它的作用是告诉REJECT返回一个TCP RST包（这个包
			     以文雅的方式关闭TCP连接，tcp-reset主要用来阻塞身份识别探测
    -----------------------------------------------------------------------------------------------------------

    示例：

    -->iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset   #tcp-reset主要用来阻塞身份识别探测



    6.TOS

    TOS目标动作用来在IPv4头中设置服务类型字段或IPv6包头中的优先级字段。服务类型字段可以控制数据包的路由情况，如果

 有几个独立的防火墙和路由器，而且还想在它们之间利用包的头部来传递路由信息，TOS目标动作是唯一的方法。


                                       LOG目标动作可以使用的选项表
    ------------------------------------------------------------------------------------------------------------------
        选项                                                     描述
    -----------------------------------------------------------------------------------------------------------------
      --set-tos value[/mask]     设置TOS值的名称，比如Normal-Service 、Minimize-Cost、Maximize-REliability、
				 Maximize-Throughput、MInimize-Delay
    ------------------------------------------------------------------------------------------------------------------
      --set-tos symbol           设置自TOS的值，值的形式可以是相应的数值(十进制或16进制的)。一般情况下，建议使用
                                 名称而不使用数值形式，因为以后这些数值可能会有所改变，而名称一般是固定的。TOS字段
				 有8个二进制位，所以可能的值是0~255（十进制)或0x00~0xff（16进制)
				 TOS预定义的值如下：
				 Normal-Service 0 (0x00)：一般服务，没有什么特殊要求。这个值也是大部分包的默认值。
				 Minimize-Cost 2(0x02):要求找一条路径使用费最低，一般情况下使用这个选项的是一些视频
				                       音频流协议(比如RTSP)

			         Maximize-Reliability 4 (0x04):要求找一条路径使可靠性最高，BOOTP和TFTP将使用它
				 Maximize-Throughput 8 (0x08): 要求找一条路径使吞吐量最大，标准服务FTP-data将使用它。
				 Minimize-Delay 16(0x10)：要求找一条路径使延时最小，一些标准服务(比如telnet、SSH、
				 FTP-control)就需要这个选项
    --------------------------------------------------------------------------------------------------------------------

    TOS动作的示例：

    -->iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10

    -->iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 1

    -->iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos Minimize-Delay

    PREROUTING :数据包到达防火时改变数据包的目的地址

    mangle:用在数据包的变更操作，比如修改TOS特性


20.4 防火墙配置图形工具

20.4.1 安装system-config-firewall软件包

   。查看是否安装了system-config-firewall

   -->rpm -q system-config-firewall

      package system-conf-firewall is not installed

   。安装system-config-firewal

   -->yum install system-config-firewall -y


20.4.2 使用防火墙配置图形工具

   -->系统-->管理-->防火墙

   Linux系统防火墙配置有两种方式：【禁用防火墙】和【启用防火墙】

   1.可信的服务

   选择SSH和WWW，这些服务可以被用户在别的主机访问。

   2.其它端口

   添加可让所有主机或者网络附加端口或者端口范围

   -->添加-->勾选“用户定义的”-->端口/端口范围：5801-->确定

                                         协议：tcp

   3.可信端口

   将所有系统都可以访问的接口标记为可信，这样通过该接口的数据包都将被允许通过。

   单击：添加-->可以添加相关端口

   4.伪装

   伪装方式可以将本地网络连接到互联网，这样本地网络将不可见，类似于指定MASQUERADE目标动作。
   
您的本地网络将不可见，且该主机是以单一地址的形式出现在互联网中。伪装仅用于IPv4。将接口标记

为伪装。

   5.端口转发

   添加条目来转发端口，可以是从本地系统的一个端口到另一个端口，也可以是本地系统到另一个系统。

转发到另一个系统只在接口是伪装的时候有用。端口转发只适用于IPv4

   -->添加-->源-->接口： 选择-->勾选用户定义的: 接口：eth0-->确定

                  协议：tcp

	          端口：80  -->用户定义的：端口/端口范围：80

             目标-->勾选“转发到另一端口”

	            IP地址:192.168.0.204

		    端口：80
   -->确定     

   6.ICMP过滤器

   在列表中编辑应该被拒绝的ICMP类型。所有其他ICMP类型则被允许通过防火墙。默认设置是没有限制

   类似于使用-m -icmp --icmp-type

   7.定制规则

   使用定制规则文件来为防火墙添加额外的规则。这些规则会添加到默认规则之后，这些文件必须是iptables格式。

   -->添加-->协议类型:ipv4 --->确定

             防火墙表格：mangle

	     文件：选择相关文件



   8.启用防火墙

   -->单击防火墙配置-->应用  即可