【Linux】Linux防火墙（iptables）基础操作指南_linux 查看iptables

IPTABLES作为一款 Linux 防火墙工具，在保护系统网络安全中具有非常重要的作用。本文将为刚刚开始接触 iptables 的Linux爱好者提供指导，介绍 iptables 的基本配置方法以及一些常用命令，帮助你快速上手。

一、iptables基本概念

iptables是Linux操作系统内核的一部分，作为一个防火墙工具，通过过滤网络流量来保护系统的安全。使用 iptables，可以通过在系统内核中过滤网络包的方式，对进入和离开系统的网络流量进行监管和控制。
当网络流量进入 Linux 系统时，iptables 会将流量根据预定义的规则进行过滤，然后决定是禁止（DROP）、允许（ACCEPT）或重定向（REJECT）网络流量。

二、iptables基本规则

iptables 的配置语法非常重要，规则的先后顺序也很重要。iptables 的基本规则包括以下三个部分：

1. 匹配条件：可以根据协议、源/目标 IP 地址、源/目标端口号等条件进行匹配。
2. 动作（Action）：当符合特定条件的数据包被 iptables 匹配成功时，可以进行不同的动作，如接受、拒绝或重定向等。
3. 规则链（Chain）：一系列规则的集合。iptables 可以在不同的链中进行配置，从而根据自己的需求灵活地调整防火墙的规则。

三、iptables基本命令

1. 查看规则：iptables -L -n 查看当前所有规则。
2. 新增规则：iptables -A [chain] [condition] -j [action] 新增一条规则，chain 为规则链，condition 为匹配条件，-j 后面接动作参数。
3. 删除规则：iptables -D [chain] [rulenum] 删除指定规则链中指定规则。
4. 清除规则：iptables -F [chain] 清除指定规则链中所有规则。
5. 保存规则：iptables-save 将现有规则保存到文件。
   以上这些命令只有基础应用，下面我们来结合实际案例，更好地学习 iptables 的使用。

• 案例：禁止某个来源IP访问
  iptables -A INPUT -s 192.168.1.3 -j DROP
  解释: 在“INPUT”链上，禁止IP地址为 192.168.1.3 的任何数据包进入。
• 案例：给某个来源IP开放某个端口
  iptables -A INPUT -s 192.168.1.3 -p tcp --dport 22 -j ACCEPT
  解释: 在“INPUT”链上，允许IP地址为 192.168.1.3 的数据包进入 22 端口。
• 案例：允许所有流量
  iptables -P INPUT ACCEPT
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD ACCEPT
  解释: 这三个命令分别设置了系统默认策略，允许所有数据包通过。

以上是一些 iptables 的基础配置案例，可以帮助你更好地了解 iptables 的使用方法。

四、iptables附加技能

1. 过滤端口：iptables -A INPUT -p tcp --dport 80 -j ACCEPT 允许 80 端口开放，则可以访问 Web 程序。
2. NAT 转发：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
   解释: 在“nat”表上，将来源为 192.168.1.0/24 子网段的数据包经过 eth0 网卡进行 NAT 转发。
3. 阻止 DOS 攻击：iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/min -j ACCEPT
   解释: 在“INPUT”链上，限制同一 IP 连接服务器的速度为每分钟 50 次，超过 50 次后拒绝连接。

总结

本文重点介绍了 iptables 的基本原理、基本规则和配置命令，并通过实例让大家更深入地了解了 iptables 的使用方法。当然，iptables 的配置非常灵活，实际应用中还需要更加深入学习和掌握，以提高安全性和性能优化。

文末彩蛋：

有一位系统管理员，他将服务器的防火墙设置得非常严格，结果导致公司的员工无法像往常一样接收外部的邮件，于是，这位管理员想了半天，终于想到了解决方案，就是去公司领导的办公室里关闭了办公室的防火墙。