linux下IPTABLES设置详解

在Linux系统中，`iptables` 是一个强大的工具，用于配置防火墙规则和网络数据包过滤。它允许你控制进入、离开以及通过系统的数据包。以下是对 `iptables` 的详细设置说明。

### 1. 基本概念

- **表（Table）**：`iptables` 有四个主要的表：
  - `filter`：默认表，用于过滤数据包。
  - `nat`：用于网络地址转换（NAT）。
  - `mangle`：用于修改数据包的某些字段。
  - `raw`：用于决定是否对数据包进行状态跟踪。

- **链（Chain）**：每个表包含多个链，链是规则的集合。常见的链包括：
  - `INPUT`：处理发往本机的数据包。
  - `OUTPUT`：处理从本机发出的数据包。
  - `FORWARD`：处理经过本机转发的数据包。
  - `PREROUTING` 和 `POSTROUTING`：主要用于 NAT。

- **规则（Rule）**：每个规则定义了如何处理特定的数据包。

### 2. 常用命令

#### 查看当前规则
```bash
iptables -L -n -v
```
- `-L`：列出所有规则。
- `-n`：以数字形式显示IP地址和端口号。
- `-v`：显示详细信息。

#### 清空规则
```bash
iptables -F
```
清空所有规则。

#### 删除规则
```bash
iptables -D <chain> <rule-number>
```
删除指定链中的某个规则。

#### 添加规则
```bash
iptables -A <chain> -p <protocol> --dport <port> -j <target>
```
- `-A`：添加规则到链的末尾。
- `<chain>`：指定链名（如 INPUT, OUTPUT, FORWARD）。
- `-p`：指定协议（如 tcp, udp, icmp）。
- `--dport`：目标端口。
- `-j`：指定目标动作（如 ACCEPT, DROP, REJECT）。

#### 插入规则
```bash
iptables -I <chain> <position> -p <protocol> --dport <port> -j <target>
```
插入规则到指定位置。

#### 设置默认策略
```bash
iptables -P <chain> <policy>
```
- `-P`：设置默认策略。
- `<policy>`：可以是 `ACCEPT`, `DROP`, `REJECT` 等。

### 3. 示例

#### 允许所有本地回环接口流量
```bash
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
```

#### 允许 SSH 连接
```bash
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
```

#### 阻止特定 IP 地址
```bash
iptables -A INPUT -s 192.168.1.100 -j DROP
```

#### 转发数据包
```bash
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
```

#### 设置默认拒绝所有流量
```bash
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
```

### 4. 持久化

由于 `iptables` 规则在系统重启后会丢失，因此需要将其保存到文件中并设置为开机自启。

#### 保存规则
```bash
service iptables save
```

#### 恢复规则
```bash
service iptables restart
```

### 5. 注意事项

- 在设置防火墙规则时，务必小心，尤其是设置默认策略为 `DROP` 或 `REJECT`，否则可能会导致无法访问系统。
- 如果不确定规则的效果，可以在测试环境中先进行实验。
- 使用 `iptables-save` 和 `iptables-restore` 来管理复杂的规则集。

通过以上设置，你可以有效地管理和保护你的 Linux 系统的网络流量。