轉(zhuǎn)自：https://blog.csdn.net/xingliyuan22/article/details/9142891

iptables是linux系統(tǒng)自帶的防火墻，功能強大，學習起來需要一段時間，下面是一些習iptables的時候的記錄。如果iptables不熟悉的話可以用apf，是一款基于iptables的防火墻，挺好用的。請參考：linux apf 防火墻 安裝 配置

一,安裝并啟動防火墻

[root@linux ~]# /etc/init.d/iptables start

當我們用iptables添加規(guī)則，保存后，這些規(guī)則以文件的形勢存在磁盤上的，以centos為例，文件地址是/etc/sysconfig/iptables，我們可以通過命令的方式去添加，修改，刪除規(guī)則，也可以直接修改/etc/sysconfig/iptables這個文件就行了。

二,添加防火墻規(guī)則

1,添加filter表

[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT  //開放21端口

出口我都是開放的iptables -P OUTPUT ACCEPT，所以出口就沒必要在去開放端口了。

2,添加nat表

[root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

將源地址是 192.168.10.0/24 的數(shù)據(jù)包進行地址偽裝

3,-A默認是插入到尾部的，可以-I來插入到指定位置

[root@linux ~]# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
[root@linux ~]# iptables -L -n --line-number
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20                //-I指定位置插的
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:225    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:806    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED7    DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID,NEW8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21                //-A默認插到最后Chain FORWARD (policy ACCEPT)num  target     prot opt source               destination         Chain OUTPUT (policy ACCEPT)num  target     prot opt source               destination

三,查下iptable規(guī)則

1,查看filter表

[root@linux ~]# iptables -L -n --line-number |grep 21 //--line-number可以顯示規(guī)則序號，在刪除的時候比較方便5    ACCEPT     tcp  --  192.168.1.0/24       0.0.0.0/0           tcp dpt:21

如果不加-t的話，默認就是filter表，查看，添加，刪除都是的

2,查看nat表

[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-numberChain POSTROUTING (policy ACCEPT 38 packets, 2297 bytes)num   pkts bytes target     prot opt in     out     source               destination1        0     0 MASQUERADE  all  --  *      *       192.168.10.0/24      0.0.0.0/0

四，修改規(guī)則

[root@linux ~]# iptables -R INPUT 3 -j DROP    //將規(guī)則3改成DROP[root@linux ~]iptables -t nat -R PREROUTING 1 -d 192.168.9.193 -p tcp --dport 9005 -j DNAT --to-destination 192.168.1295:90 //替換PREROUTING中的第一條規(guī)則

五,刪除iptables規(guī)則

[root@linux ~]# iptables -D INPUT 3  //刪除input的第3條規(guī)則
[root@linux ~]# iptables -t nat -D POSTROUTING 1  //刪除nat表中postrouting的第一條規(guī)則
[root@linux ~]# iptables -F INPUT   //清空 filter表INPUT所有規(guī)則
[root@linux ~]# iptables -F    //清空所有規(guī)則[root@linux ~]# iptables -t nat -F POSTROUTING   //清空nat表POSTROUTING所有規(guī)則
[root@linux ~]# iptables -t nat -D PREROUTING -d 192.168.9.193 -p tcp --dport 9005 -j DNAT --to-destination 192.168.12.95:80 //刪除指定規(guī)則

六，設置默認規(guī)則

[root@linux ~]# iptables -P INPUT DROP  //設置filter表INPUT默認規(guī)則是 DROP

所有添加，刪除，修改后都要保存起來，/etc/init.d/iptables save.上面只是一些最基本的操作，要想靈活運用，還要一定時間的實際操作。