本章结构：

Linux防火墙基础
- iptables的表、链结构
- 数据包控制的匹配流程
编写防火墙规则
- 基本语法、控制类型
- 添加、查看、删除规则
- 规则的匹配条件

一、安全技术和防火墙

1. 安全技术

入侵检测系统（Intrusion Detection Systems）
入侵防御系统（Intrusion Prevention System）
防火墙（ FireWall ）
防水墙（Waterwall）

2. 防火墙的分类

按保护范围划分：
- 主机防火墙：服务范围为当前一台主机
- 网络防火墙：服务范围为防火墙一侧的局域网
按实现方式划分:
- 硬件防火墙：在专用硬件级别实现部分功能的防火墙
- 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件
按网络协议划分：
- 网络层防火墙：OSI模型下四层，又称为包过滤防火墙
- 应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

二、 Linux 防火墙的基本认识

1. Netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中。

2. 防火墙工具

iptables
firewalld
nftables

3. Netfilter中五个勾子函数和报文流向

Netfilter在内核中选取五个位置放了五个hook function勾子函数——INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING ，而这五个hook function向用户开放，用户可以通过一个命令工具iptables向其写入规则。

三种报文流向：

流入本机：PREROUTING --> INPUT-->用户空间进程(访问我的服务)
流出本机：用户空间进程 -->OUTPUT--> POSTROUTING（穿过我）
转发：PREROUTING --> FORWARD --> POSTROUTING（分摊流量）

三、 iptables

1. iptables概述

iptables是Linux系统的防火墙， IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。

iptables 属于“用户态”(User Space，又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

2. iptables的表、链结构（四表五链）

$\color{red}{表中有链}$

$\color{red}{链中有规则}$

表的作用： 规定了如何处理数据包
链的作用： 容纳各种防火墙规则
规则的作用： 对数据包进行过滤或处理

2.1 四表

iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

表名	作用
raw	是否跟踪数据流量
mangle	是否标记数据流量
nat	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口
filter	（是防火墙的默认表）负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链：PREROUTING、POSTROUTING、OUTPUT

2.2 五链

链名	作用
input	处理需要进入本机的流量
output	处理从本机出来的流量，一般不在此链上做配置
forward	处理需要被本机转发的流量
prerouting	处理在路由判断前的数据，在不明确是给本机的数据还是转发给别的机器的数据前就进行处理
postrouting	处理在路由判断后的数据包，明确是给自己还是给别人的数据后进行处理

2.3 内核中数据包的传输过程

内核数据包传输过程.png

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去；
如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达；
如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

3. 实际操作

3.1 iptables语法

命令格式：

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

管理选项：表示iptables规则的操作方式，如插入、增加、删除、查看等；
匹配条件：用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理；
控制类型：指的是数据包的处理方式，如允许、拒绝、丢弃等。 

`注意事项：`
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

管理选项

管理选项	用法示例
-A	在指定链末尾追加一条 iptables -A INPUT （操作）
-I	在指定链中插入一条新的，未指定序号默认作为第一条 iptables -I INPUT 编号（操作）
-P	指定默认规则 iptables -P OUTPUT ACCEPT （操作）
-D	删除 iptables -t nat -D INPUT 2 （操作）
-p	服务名称 icmp tcp
-R	修改、替换某一条规则 iptables -t nat -R INPUT （操作）
-L	查看 iptables -t nat -L （查看）
-n	所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名） iptables -L -n,iptables -nL,iptables -vnL （查看）
-v	查看时显示更详细信息，常跟-L一起使用（查看）
--line-number	规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-F	清除链中所有规则 iptables -F （操作）
-N	新加自定义链
-X	清空自定义链的规则，不影响其他链 iptables -X
-Z	清空链的计数器（匹配到的数据包的大小和总和）iptables -Z
-S	看链的所有规则或者某个链的规则/某个具体规则后面跟编号

匹配条件

通用匹配
协议匹配	`-p` 协议名
地址匹配	`-s` 源地址、`-d`目的地址【可以是IP、网段、域名、空(任何地址)】
接口匹配	`-i`入站网卡、`-o`出站网卡
端口号匹配	`--sport` 指定源端口号、`--dport` 指定目的端口号

控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下：

控制类型	作用
ACCEPT	允许数据包通过
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，必要时会给数据发送端一个响应信息
LOG	在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助动作，并没有真正处理数据包。

3.2 查看规则表

iptables -vnL
iptables -vnL --line-numbers

[root@node1 ~]#  iptables -vnL    //查看规则表，L写最后
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)   //input链，默认规则允许
 pkts bytes target     prot opt in     out     source         destination    //规则
#包数 字节数 目标地址   协议      进     出      源地址          目的地址
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source         destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source         destination 
 

[root@node1 ~]# iptables -vnL --line-numbers  //显示各条规则在链内的顺序号

3.3 添加新的防火墙规则

添加新的防火墙规则时，使用管理选项“-A”、“-I”，前者用来追加规则，后者用来插入规则。

例：
iptables  -t  filter   -A  INPUT  -s  192.168.91.0/24  -j  DROP
#来源于192.168.91.0 这个网段的所有数据包都丢弃

iptables -I  INPUT  1  -s  192.168.91.0/24  -j  ACCEPT  //-I后面要加编号

3.4 删除、清空、替换规则

`删除`
iptables  -t  表名  -D  链名  编号  //删除1条规则
iptables -D INPUT 5  //删除第5条规则，不写-t默认filter表


`清空`
清空指定链或表中的所有防火墙规则，使用管理选项“-F”
iptables -F   //清空所有规则，不包括默认


`替换`
iptables -R INPUT 1 -s 192.168.91.101 -j ACCEPT  //-R替换


注意：
1.若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
2.按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
3.按内容匹配删数时，确保规则存在，否则报错

3.5 设置默认策略

iptables 的各条链中，默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时，则执行默认策略。

默认策略的控制类型为 ACCEPT（允许）、DROP（丢弃）两种。

iptables [-t表名] -P <链名> <控制类型>     //-P指定默认规则

iptables -P FORWARD DROP   //将filter表中 FORWARD 链的默认策略设为丢弃
iptables -P OUTPUT ACCEPT  //将filter表中 OUTPUT 链的默认策略设为允许
iptables -P INPUT DROP     //所有都不可以通
一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单

注意： 当使用管理选项“-F”清空链时，默认策略不受影响。因此若要修改默认策略，必须通过管理选项“-P”重新进行设置。另外，默认策略并不参与链内规则的顺序编排，因此在其他规则之前或之后设置并无区别。

4. 规则的匹配条件

通用匹配
扩展匹配（分为隐式匹配、显示匹配）

扩展匹配条件：需要加载扩展模块(/usr/lib64/xtables/*.so)，方可生效

扩展模块的查看帮助：man iptables-extensions

4.1 通用匹配

通用匹配不需要调用模块，由iptables/netfilter自行提供

-s，--source  address[/mask][,...]:源IP地址或者不连续的IP地址
-d，--destination address[/mask][,…..:目标IP地址或者不连续的IP地址
-p，--protocol protocol:指定协议，可使用数字如0(a11)
   protocol:tcp,udp,icmp,icmpv6,udplite,esp, ah,sctp,mh or"a11" 参看:/etc/protoco1s
-i，--in-interface name:报文流入的接口；只能应用于数据报文流入环节，只应用于INPUT、FORWARD、PREROUTING链
-o，--out-interface name:报文流出的接口；只能应用于数据报文流出的坏节，只应用于FORWARD、QUTPUT、POSTROUTING链
--source-port，--sport port[:port]:匹配报文源端口,可为端口连续范围
--destination-port，--dport port[:port]:匹配报文目标端口,可为连续范围


协议匹配： -p 协议名                               
地址匹配： -s 源地址、-d 目的地址 
接口匹配： -i 入站网卡、-o 出站网卡
端口号匹配： --sport 指定源端口号 、--dport 指定目的端口号

添加回环网卡，默认本机所有的地址都可以通
iptables -A INPUT -i lo -j ACCEPT      //-i指定网卡  lo回环网卡

只让特定的机器不可以ping通我
iptables -I INPUT 2 -s 192.168.91.101 -p icmp -j REJECT
//注意其他规则，只有 ping 被禁止，其他协议是的如ssh http等


iptables -A INPUT ! -p icmp -j ACCEPT
//!代表条件取反，不是icmp的都放通
iptables -A INPUT -s 192.168.72.10 -j REJECT
//拒绝从哪个主机发数据包过来（-s指定了源地址） 
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
//在行首插入规则，丢弃该网段从ens33网卡进来的数据包

4.2 隐式匹配

iptables 在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块。

4.2.1 端口匹配

端口匹配：--sport 源端口、--dport 目的端口。

可以是个别端口或者端口范围：

格式	含义
--sport 1000	匹配源端口是1000的数据包
--sport 1000:3000	匹配源端口是1000-3000的数据包
--sport :3000	匹配源端口是3000及以下的数据包
--sport 1000:	匹配源端口是1000及以上的数据包

注意： --sport 和 --dport 必须配合-p <协议类型>使用

例子:控制 101 服务器访问服务端的 tcp 的80和22端口
iptables -I INPUT 3 -m tcp -p tcp --dport 80 -s 192.168.91.101 -j REJECT 
//插入第三条规则，指定tcp协议，拒绝源地址192.168.91.101来访问本机的tcp80端口（192.168.91.101的目标端口是80）
iptables -I INPUT 3 -p tcp --dport 22 -s 192.168.91.101 -j REJECT  
//插入第三条规则，指定tcp协议，拒绝源地址192.168.91.101来访问本机的tcp22端口

`补充：`-m 模块的名字 和 -p 协议的名字 重复时，可以省略-m 

例子:如果端口连续怎么表示？   端口:端口
iptables -I INPUT 3 -p tcp --dport 80:1000 -s 192.168.91.101 -j REJECT  
//80到1000全部被拒

4.2.2 TCP标记匹配

TCP标记匹配: --tcp-flags TCP标记（TCP标记有SYN,RST,ACK,SYN）

--tcp-flags mask comp
     mask 需检查的标志位列表，用,分隔 , 例如 SYN,ACK,FIN,RST
     comp 在mask列表中必须为1的标志位列表，无指定则必须为0，用,分隔tcp协议的扩展选项


例子：检查tcp的控制位
--tcp-flags SYN,ACK,FIN,RST SYN   //表示要检查的标志位为SYN,ACK,FIN,RST四个，其中SYN必须为1，余下的必须为0，第一次握手
--tcp-flags SYN,ACK,FIN,RST SYN,ACK  //第二次握手


iptables -I INPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN  -j  REJECT
//TCP三次握手时的第一次握手，放行SYN为1的报文，拒绝其他包。

iptables -I OUTPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN,ACK  -j  REJECT
//第二次握手放行SYN、ACK为1的报文，拒绝其他包。

iptables -I INPUT -i ens33 -p tcp --tcp-flags FIN,RST,ACK SYN -j ACCEPT
//丢弃SYN请求包，放行其他包

4.2.3 ICMP类型匹配

类型匹配：--icmp-type ICMP类型

ICMP类型可以是字符串、数字代码:

ICMP类型	含义
Echo-Request （代码为8）	表示请求
Echo- -Reply （代码为0）	表示回复
Dest ination-Unreachable （代码为3）	表示目标不可达

关于其它可用的ICMP协议类型，可以执行 iptables -p icmp -h 命令，查看帮助信息。

禁止其它主机ping本机
iptables -A INPUT -p icmp --icmp-type 8 -j DROP    //8代表请求包

允许本机ping其它主机
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT  //0代表回复本机的包

示例：7-1可以ping通7-2
     7-2不可以ping通7-1
7-1：192.168.204.10
7-2：192.168.204.20

[root@node1 ~]#  iptables -F
[root@node1 ~]#  iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.204.20 -j REJECT    //编写规则
[root@node1 ~]#  ping 192.168.204.20    //7-1可以ping通7-2
PING 192.168.204.20 (192.168.204.20) 56(84) bytes of data.
64 bytes from 192.168.204.20: icmp_seq=1 ttl=64 time=0.661 ms
64 bytes from 192.168.204.20: icmp_seq=2 ttl=64 time=1.22 ms
64 bytes from 192.168.204.20: icmp_seq=3 ttl=64 time=0.789 ms

[root@node2 ~]#  ping 192.168.204.10    //7-2ping不通7-1
PING 192.168.204.10 (192.168.204.10) 56(84) bytes of data.
From 192.168.204.10 icmp_seq=1 Destination Port Unreachable
From 192.168.204.10 icmp_seq=2 Destination Port Unreachable
From 192.168.204.10 icmp_seq=3 Destination Port Unreachable

4.3 显式匹配

显示扩展即必须使用-m选项指明要调用的扩展模块名称，需要手动加载扩展模块。

4.3.1 multiport扩展

multiport扩展可以混合端口，以离散方式定义多端口匹配,最多指定15个端口

语法格式：

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

 --source-ports,--sports port[,port|,port:port]...
//指定多个源端口 逗号隔开
--destination-ports,--dports port[,port|,port:port]...
//指定多个目标端口 逗号隔开
--ports port[,port|,port:port]...
//多个源或目标端

示例：
iptables -A INPUT  -s 192.168.91.101 -p tcp -m multiport --dports 22,80,3306 -j REJECT 
//阻止 ip地址来自192.168.91.101  访问当前机器的tcp 22、80、3306端口

4.3.2 iprange扩展

指明连续的（但一般不是整个网络）ip地址范围。

语法格式：

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

示例：
iptables -A INPUT  -m iprange --src-range 192.168.91.101-192.168.91.103 -j REJECT 
//指定 源地址为192.168.91.101-192.168.91.103  这3个地址无法访问 当前主机

4.3.3 mac地址

mac 模块可以指明源MAC地址，适用于：PREROUTING, FORWARD，INPUT 链

语法格式： -m mac --mac-source XX:XX:XX:XX:XX:XX

示例：
iptables -A INPUT -m mac --mac-source 00:0c:29:2a:d6:05 -j REJECT
//拒绝来自特定MAC地址的设备的网络输入

4.3.4 string 字符串

对报文中的应用层数据做字符串模式匹配检测。

语法格式：

-m string --algo {bm|kmp} 字符串匹配检测算法
-m string --from offset 开始查询的地方
-m string --to offset 结束查询的地方

示例：
客户访问带有cxk的可以
客户访问带有wyf的不行
[root@node1 html]#  systemctl restart httpd
[root@node1 html]#  iptables -F     //清空规则
[root@node1 html]#  vim cxk.html
  cxk  cxk  cxk
[root@node1 html]#  vim wyf.html
  wyf  wyf  wyf
[root@node2 ~]#  curl 192.168.204.10/cxk.html   //可以访问cxk
cxk  cxk  cxk
[root@node2 ~]#  curl 192.168.204.10/wyf.html   //可以访问wyf
wyf  wyf  wyf


[root@node1 html]#  iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string "wyf" -j REJECT
//-A OUTPUT控制7-1的出口；源端口80；启用string模块，bm算法，跳过前62个字节；--string检查字符串，出现wyf就丢弃
[root@node2 ~]#  curl 192.168.204.10/cxk.html   //可以访问cxk
cxk  cxk  cxk
[root@node2 ~]#  curl 192.168.204.10/wyf.html   //不可以访问cxk

^C

4.3.5 time模块

根据将报文到达的时间与指定的时间范围进行匹配（centos8有bug,ubuntu没问题）

语法格式：

-m -time --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 开始日期
-m -time --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 停止日期
-m -time --timestart hh:mm[:ss] 开始时间
-m -time --timestop hh:mm[:ss] 停止时间
-m -time --monthdays day[,day...] 每个月的几号
-m -time --weekdays day[,day...] 星期几，1 – 7 分别表示星期一到星期日

示例：
iptables -A INPUT  -m time --timestart 14:00 --timestop 16:00 -j REJECT
//拒绝所有客户端在每天的14:00到16:00访问本机

4.3.5 connlimit扩展

根据每客户端IP做并发连接数数量匹配，可防止Dos(Denial of Service，拒绝服务)攻击。

语法格式：

-m connlimit --connlimit-upto N 连接的数量小于等于N时匹配
-m connlimit --connlimit-above N 连接的数量大于N时匹配

示例：
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 2 -j REJECT

4.3.6 limit

限制流量

语法格式：

-m -limit --limit-burst number 前多少个包不限制
-m -limit --limit [/secondl/minutel/hourl/day]

示例：
iptables -I INPUT -p icmp --icmp-type 8 -m limit --limit 10/minute --1imit-burst 5 -j ACCEPT   
//icmp包前5个不限制 一分钟允许通过10个包

4.3.6 state状态

语法格式： -m state --state 状态

状态类型
NEW	新发出请求；连接追踪信息库中不存在此连接的相关信息条目，因此，将其识别为第一次发出的请求
ESTABLISHED	NEW状态之后，连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
RELATED	新发起的但与已有连接相关联的连接，如：ftp协议中的数据连接与命令连接之间的关系
INVALID	无效的连接，如flag标记不正确
UNTRACKED	未进行追踪的连接，如：raw表中关闭追踪

示例：
拒绝所有新用户访问
ipatables  -A INPUT -m state --state  NEW  -j REJECT   

老用户可以访问
ipatables  -A INPUT  -m state --state  ESTABLISHED  -j ACCEPT  

100可以访问101的所有服务
101不可以访问100的所有服务
ipatables  -A INPUT -s 192.168.91.101  -m state --state  NEW  -j REJECT

故障案例：

启用了的iptables state 模块，用户访问有问题，查看日志 table full drop pket。后来研究发现，有一个内核选项的默认值过低 netfilter/nf conntrack mqx 默认65536把这个值调大一点。

5. 规则优化

安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条，效率更高
谨慎放行入站的新请求
有特殊目的限制访问功能，要在放行规则之前加以拒绝
同类规则（访问同一应用，比如：http ），匹配范围小的放在前面，用于特殊处理
不同类的规则（访问不同应用，一个是http，另一个是mysql ），匹配范围大的放在前面，效率更高
应该将那些可由一条规则能够描述的多个规则合并为一条,减少规则数量,提高检查效率
设置默认策略，建议白名单（只放行特定连接）
- A：iptables -P，不建议，容易出现“自杀现象”
- B：规则的最后定义规则做为默认策略，推荐使用，放在最后一条

6. 保存规则

使用iptables命令定义的规则，手动删除之前，其生效期限为kernel存活期限

语法格式：

iptables-save 打印策略
iptables-save > 文件名 保存策略
iptables-restore < 文件名 重新导入策略

开机自动重载规则：

全局生效——写进 /etc/rc.d/rc.local 文件中

[rootalocalhost ~]# vim /etc/rc.d/rc.1ocal   //行末添加
  iptables-restore  < /opt/iptables
[root@localhost ~]# chmod +x /etc/rc.d/rc.1oca1  //添加执行权限

7. 自定义链

选项	作用
-N	new，自定义一条新的规则链
-E	重命名自定义链；引用计数不为0的自定义链不能够被重命名，也不能被删除
-X	delete，删除自定义的空的规则链

7.1 新建自定义链

-N

示例：
[root@node1 ~]#  iptables -F
[root@node1 ~]#  iptables -vnL     //查看规则
Chain INPUT (policy ACCEPT 7 packets, 440 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 5 packets, 452 bytes)
 pkts bytes target     prot opt in     out     source               destination         

[root@node1 ~]#  iptables -N web    //新建自定义链
[root@node1 ~]#  iptables -vnL      //查看规则
Chain INPUT (policy ACCEPT 6 packets, 364 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4 packets, 384 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain web (0 references)            //新建web链
 pkts bytes target     prot opt in     out     source               destination

7.2 重命名自定义链

-E

[root@node1 ~]#  iptables -E web WEB    //把链名由web改为WEB
[root@node1 ~]#  iptables -vnL          //查看规则
Chain INPUT (policy ACCEPT 6 packets, 364 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4 packets, 392 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain WEB (0 references)               //改名成功
 pkts bytes target     prot opt in     out     source               destination

7.3 删除自定义链

-X

[root@node1 ~]#  iptables -X WEB     //删除WEB链
[root@node1 ~]#  iptables -vnL       //查看规则
Chain INPUT (policy ACCEPT 6 packets, 364 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4 packets, 384 bytes)
 pkts bytes target     prot opt in     out     source               destination

Linux防火墙基础 【iptables】

一、 安全技术和防火墙

1. 安全技术

2. 防火墙的分类

二、 Linux 防火墙的基本认识

1. Netfilter

2. 防火墙工具

3. Netfilter中五个勾子函数和报文流向

三、 iptables

1. iptables概述

2. iptables的表、链结构（四表五链）

2.1 四表

2.2 五链

2.3 内核中数据包的传输过程

3. 实际操作

3.1 iptables语法

3.2 查看规则表

3.3 添加新的防火墙规则

3.4 删除、清空、替换规则

3.5 设置默认策略

4. 规则的匹配条件

4.1 通用匹配

4.2 隐式匹配

4.2.1 端口匹配

4.2.2 TCP标记匹配

4.2.3 ICMP类型匹配

4.3 显式匹配

4.3.1 multiport扩展

4.3.2 iprange扩展

4.3.3 mac地址

4.3.4 string 字符串

4.3.5 time模块

4.3.5 connlimit扩展

4.3.6 limit

4.3.6 state状态

5. 规则优化

6. 保存规则

7. 自定义链

7.1 新建自定义链

7.2 重命名自定义链

7.3 删除自定义链

Linux防火墙基础【iptables】

一、安全技术和防火墙