Linux - iptable（防火墙）

一、概念

此处先描述一些相关概念。

从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。
主机防火墙：针对于单个主机进行防护。
网络防火墙：往往处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。
网络防火墙和主机防火墙并不冲突，可以理解为，网络防火墙主外（集体），主机防火墙主内（个人）。

从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。
硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。
软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。

Linux的iptables

iptables其实不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的"安全框架"中，这个"安全框架"才是真正的防火墙，这个框架的名字叫netfilter

netfilter才是防火墙真正的安全框架（framework），netfilter位于内核空间。

iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架。
netfilter/iptables（下文中简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

Netfilter是Linux操作系统核心层内部的一个数据包处理模块，它具有如下功能：
网络地址转换(Network Address Translate)
数据包内容修改以及数据包过滤的防火墙功能

所以说，虽然我们使用service iptables start启动iptables"服务"，但是其实准确的来说，iptables并没有一个守护进程，所以并不能算是真正意义上的服务，而应该算是内核提供的功能。

二、iptable工作流图解

三、常用命令

1. 初始化

命令	作用
iptables -F	flush 清除所有的已定规则
iptables -X	delete 删除所有用户“自定义”的链（tables）
iptables -Z	zero 将所有的chain的计数与流量统计都归零
iptables -S	查看整个iptable表

初始化完成如图

2. 保存iptable

service iptables save

若提示服务不存在，则执行
iptables-save

若提示命令不存在，则执行
/sbin/iptables-save

若还是找不到命令，重新确认iptables安装路径。

3. 禁止和开放端口

关闭所有的 INPUT FORWARD OUTPUT (端口)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

打开端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

-A 参数就看成是添加一条 INPUT 的规则
-p 指定是什么协议我们常用的tcp 协议，当然也有udp 例如53端口的DNS
到时我们要配置DNS用到53端口大家就会发现使用udp协议的
而 --dport 就是目标端口当数据从外部进入服务器为目标端口
反之数据从服务器出去则为数据源端口使用 --sport
-j 就是指定是 ACCEPT 接收或者 DROP 不接收

禁止某个IP访问
iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP

这里意思就是 -A 就是添加新的规则，怎样的规则呢？由于我们访问网站使用tcp的，
我们就用 -p tcp , 如果是 udp 就写udp，这里就用tcp了， -s就是来源的意思，
ip来源于 192.168.1.2 ，-j 怎么做我们拒绝它这里应该是 DROP

如何删除规则
通过 iptables -L -n --line-number 可以显示规则和相对应的编号
num target prot opt source destination
1 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 这一列，这样我们就可以看到刚才的规则对应的是编号2

那么我们就可以进行删除了
iptables -D INPUT 2
删除INPUT链编号为2的规则。

再 iptables -L -n 查看一下已经被清除了。

补充资料：

iptables 添加，删除，查看，修改 https://www.cnblogs.com/jsonevery/articles/10122273.html

centos7后可以使用firewall

【Linux】开放指定端口 https://blog.csdn.net/yw_1207/article/details/89959357?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-3.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-3.control

参考资料

iptables详解(1)：iptables概念 http://www.zsythink.net/archives/1199/
保存iptables规则 https://blog.csdn.net/weixin_33749131/article/details/91912549
Linux下iptables 禁止端口和开放端口 https://blog.csdn.net/buster2014/article/details/50070747