文章插图

文章插图
使用过Linux系统的人对iptables一定不陌生，它是Linux从2.4.x版本内核开始，系统自带的防火墙 。如今Linux内核已经更新至5.11.x版本，Linux的防火墙在iptables基础上泛生出UFW和Firewalld，并且在一些发行版中已经替代iptables 。
Netfilter/Iptables
Netfilter/Iptables 是Linux系统自带的防火墙，Iptables管理规则，Netfilter是规则的执行者，它们一起组成Linux下包过滤防火墙 。
iptables内置4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理 。每个表都会有相应的链 。下图是iptables中的四表五链：

链（chains）是数据包传播的路径 。每一条链中可以有一条或多条规则，当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件 。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则 。如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包 。

关于iptables的原理这篇文章讲得很清楚：https://blog.csdn.net/tennysonsky/article/details/44596515

在Linux中，可以使用如下命令启用或关闭iptables
// 启动iptablessystemctl start iptables// 停止iptablessystemctl stop iptables以下是常用命令：
// 列出 INPUT 表中规则iptables -L INPUT// 允许3306端口TCP协议访问iptables -I INPUT -p tcp --dport 3306 -j ACCEPT// 允许IP为xxx.xxx.xxx.xxx通过udp访问本地500端口iptables -I INPUT -p udp --dport 500 -s xxx.xxx.xxx.xxx -j ACCEPT// -I参数是将规则插入表开头，-A是把规则添加到表未尾，优先级最低，可做为默认规则// 当不符合前面规则后拒绝所有请求iptables -A INPUT -p tcp -j REJECT// 删除INPUT表中第1条规则iptables -D INPUT 1// 清空规则列表iptables -Fiptables还能做基于内核的包转发 。关于iptables用法网上文章太多了，就不多写 。
需要注意的是，iptables规则虽然能即时生效，但并未保存 。开机后会丢失 。
RedHat系执行保存：
service iptables saveDebian系执行 iptables-save 列出所有规则，输出到文件中保存 。系统启动时用 iptables-restore 恢复 。
// 保存iptables-save > /etc/iptables.conf// 恢复iptables-restore < /etc/iptables.confUFW 和 Firewalld
iptables很强大也很复杂，于是便有UFW和Firewalld 。它们的命令简单清晰很多，底层都是调用iptables 。
UFW
UFW是Ubuntu下防火墙：
// 启动ufwsystemctl start ufw// 停用ufwsystemctl stop ufw以下是常用命令：
// 查询ufw开启状态，打印规则ufw status// 允许80端口访问ufw allow 80// 拒绝8000端口访问ufw deny 9000// 拒绝ip为xxx.xxx.xxx.xxx访问ufw deny from xxx.xxx.xxx.xxx// 允许通过tcp协议，9000-9002访问ufw allow 9000:9002/tcp// 删除规则ufw delete allow httpFirewalld
Firewalld是Fedora/CentOS 8之后版本自带的防火墙：
// 启动firewalldsystemctl start firewalld// 停用firewalldsystemctl stop firewalld以下是常用命令：
// 允许tcp协议8161端口访问，--zone(作用域)，--permanent(永久生效)firewall-cmd --zone=public --add-port=8161/tcp --permanent// 重新加载规则firewall-cmd --reload// 将80端口的流量转发至8080firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080// 将80端口的流量转发至192.168.0.1firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1// 将80端口的流量转发至192.168.0.1的8080端口firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080【debian 防火墙iptables关闭 linux关闭防火墙命令iptables】Firewalld也有图形界面：

• redhat5关闭防火墙命令 redhat7.3关闭防火墙命令
• ddos防护系统软件 ddos硬件防火墙
• debian安装教程双系统 debian安装教程服务器
• windows防火墙设置端口 ip windows防火墙设置端口 作用域
• ubuntu防火墙设置禁用端口 Ubuntu设置防火墙
• 怎样给电脑设置防火墙 怎么给电脑设防火墙
• 防火墙端口怎么开放 防火墙怎么开启端口
• linux查看防火墙是否开启某端口 Linux如何查看防火墙是否开启
• 无法连接adobe服务器请检查防火墙设置 卸载ps显示无法连接adobe服务器
• 风云防火墙官方网址 防火墙哪个好用