Linux命令详解：iptables 命令_/etc/rc.d/init.d/iptables save

一、Linux防火墙 iptables 相关知识点

1、概要

        iptables 是组成 Linux 平台下的包过滤防火墙，与大多数的 Linux 软件一样，这个包过滤防火墙是免费的，它可以替代昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。在日常 Linux 运维工作中，经常会设置 iptables 防火墙规则，用来加固服务安全。

1.1 防火墙分类

       ①  包过滤防火墙(pack filtering)在网络层对数据包进行选择过滤，采用访问控制列表(Access control table－ACL)检查数据流的源地址，目的地址，源和目的端口，IP等信息。
       ②  代理服务器型防火墙

1.2 iptables基础

（1）规则(rules)：网络管理员预定义的条件
       规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。
       当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加、修改和删除等规则。

       其中：
       · 匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。
       · 丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。
       · 接受（accept）：和丢弃相反，接受这个包，让这个包通过。
       · 拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定，也可以自动产生。
       · 目标（target）：指定的动作，说明如何处理一个包，比如：丢弃，接受，或拒绝。
       · 跳转（jump）：和目标类似，不过它指定的不是一个具体的动作，而是另一个链，表示要跳转到那个链上。
       · 规则（rule）：一个或多个匹配及其对应的目标。

（2）链(chains)： 是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据 该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定 义的默认策略来处理数据包。

（3）表(tables)：提供特定的功能，iptables 内置了 4 个表，即 filter 表、nat 表、mangle 表和 raw 表，分别用于实现包过滤、网络地址转换、包重构(修改)和数据跟踪处理的功能
         - filter表 是系统默认的，INPUT表(进入的包)，FORWORD(转发的包)，OUTPUT(处理本地生成的包)，filter表只能对包进行授受和丢弃的操作。
         - nat表(网络地址转换)，PREROUTING(修改即将到来的数据包)，OUTPUT(修改在路由之前本地生成的数据包)，POSTROUTING(修改即将出去的数据包)
         - mangle表，PREROUTING，OUTPUT，FORWORD，POSTROUTING，INPUT

          iptables 采用 “表” 和 “链” 的分层结构，在 Linux 中现在是 四张表 五个链。下面罗列一下这四张表和五个链（注意一定要明白这些表和链的关系及作用）

   1）filter表——三个链：INPUT、FORWARD、OUTPUT
         作用：过滤数据包 内核模块：iptables_filter.
   2）Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
         作用：用于网络地址转换（IP、端口） 内核模块：iptable_nat
   3）Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
         作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
   4）Raw表——两个链：OUTPUT、PREROUTING
         作用：决定数据包是否被状态跟踪机制处理 内核模块：iptable_raw

规则链：
   1）INPUT——进来的数据包应用此规则链中的策略
   2）OUTPUT——外出的数据包应用此规则链中的策略
   3）FORWARD——转发数据包时应用此规则链中的策略
   4）PREROUTING——对数据包作路由选择前应用此链中的规则
      （记住！所有的数据包进来的时侯都先由这个链处理）
   5）POSTROUTING——对数据包作路由选择后应用此链中的规则
      （所有的数据包出来的时侯都先由这个链处理）

1.3 管理和设置 iptables 规则

1.4 iptables 传输数据包的过程

   1）当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
   2）如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
   3）如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

如果还是不清楚数据包经过iptables的基本流程，再看下面更具体的流程图：

从图中可将iptables数据包报文的处理过程分为三种类型：
1）目的为本机的报文
   报文以本机为目的地址时，其经过iptables的过程为：
   1.数据包从network到网卡
   2.网卡接收到数据包后，进入raw表的PREROUTING链。这个链的作用是在连接跟踪之前处理报文，能够设置一条连接不被连接跟踪处理。(注：不要在raw表上添加其他规则)
   3.如果设置了连接跟踪，则在这条连接上处理。
   4.经过raw处理后，进入mangle表的PREROUTING链。这个链主要是用来修改报文的TOS、TTL以及给报文设置特殊的MARK。(注：通常mangle表以给报文设置MARK为主，在这个表里面，千万不要做过滤/NAT/伪装这类的事情)
   5.进入nat表的PREROUTING链。这个链主要用来处理 DNAT，应该避免在这条链里面做过滤，否则可能造成有些报文会漏掉。(注：它只用来完成源/目的地址的转换)
   6.进入路由决定数据包的处理。例如决定报文是上本机还是转发或者其他地方。(注：此处假设报文交给本机处理)
   7.进入mangle表的 INPUT 链。在把报文实际送给本机前，路由之后，我们可以再次修改报文。
   8.进入filter表的 INPUT 链。在这儿我们对所有送往本机的报文进行过滤，要注意所有收到的并且目的地址为本机的报文都会经过这个链，而不管哪个接口进来的或者它往哪儿去。
   9. 进过规则过滤，报文交由本地进程或者应用程序处理，例如服务器或者客户端程序。

2）本地主机发出报文
数据包由本机发出时，其经过iptables的过程为：
   1.本地进程或者应用程序（例如服务器或者客户端程序）发出数据包。
   2.路由选择，用哪个源地址以及从哪个接口上出去，当然还有其他一些必要的信息。
   3.进入raw表的OUTPUT链。这里是能够在连接跟踪生效前处理报文的点，在这可以标记某个连接不被连接跟踪处理。
   4.连接跟踪对本地的数据包进行处理。
   5.进入 mangle 表的 OUTPUT 链，在这里我们可以修改数据包，但不要做过滤(以避免副作用)。
   6.进入 nat 表的 OUTPUT 链，可以对防火墙自己发出的数据做目的NAT(DNAT) 。
   7.进入 filter 表的 OUTPUT 链，可以对本地出去的数据包进行过滤。
   8.再次进行路由决定，因为前面的 mangle 和 na