iptables的4表5鏈的處理流程

一：業務地址請求服務時，首先經過iptables服務，iptables通過校驗規則，通過校驗是否同意業務訪問，規則從上到下，匹配規則都失敗了的話，走默認規則
（1）Accept 允許通過訪問
（2）DROP 拒絕服務
二：iptables的4表5鏈
1.filter表(過濾器的意思)安全組
2.nat表
3.raw表
4.mangle表
伍鏈
INPUT （防火墻規則，控制請求能否訪問服務）
OUTPUT （請求完服務出去）
FORWARD （路過）
PREROUTING （請求到達這個服務之前）
POSTROUTING （數據包離開防火墻）

modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

iptables -nL 查看filter表的規則
iptables -t nat -nL 查看nat表的規則

實際操作

1.創建一個規則，禁止192.168.21.131這個源地址訪問目的主機
iptables -t filter -I INPUT -s 192.168.21.131 -j DROP
刪除第一條規則
iptables -D INPUT 1
返回無法到達
iptables -t filter -I INPUT -s 192.168.21.131 -j REJECT

禁止某個IP訪問某個端口
iptables -t filter -I INPUT -s 192.168.21.131 -p tcp --dport 22 -j DROP
允許192.168.21.131通過訪問

iptables -t filter -I INPUT ！ -s 192.168.21.131 -j DROP

禁止ping
禁止某個IP的ping
iptables -t filter -I INPUT -s 192.168.21.131 -p icmp -j DROP
禁止所有的ping
iptables -t filter -I INPUT -p icmp --icmp-type 8 -j DROP

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 80,433 -j ACCEPT
iptables -A INPUT -s 192.168.21.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP