iptables功能用法小结

Linux防火墙的配置是一个运维经常要碰到的问题，但是机器运维的频次本来就很低嘛，每次用到的时候都要查一遍，这里把相关的概念和命令梳理一下，方便以后查看。

Linux的iptables防火墙主要能实现的功能是nat转发和网络包过滤，nat转发一般涉及到搭建软路由的时候才会用到，这里先不讨论，主要小结一下网络包过滤的功能。

iptables涉及到的三个核心概念：chain，表，规则

chain有5种，PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

表有4种，raw、nat、mangle、filter

基本概念讲完了，实用一点直接讲图

使用iptables -nvL命令查看开发机防火墙的当前设置，可以看到INPUT，FORWARD，OUTPUT内置chain和很多自定义chain，chain中每一列的含义如下：

pkts：该规则通过的包量

bytes：该规则通过的包总流量

target：定义该规则对包的处理（ACCEPT、DROP等），也可以填写自定义链，填写自定义链时进入自定义链定义的规则进行匹配

prot：匹配的协议（all，tcp，udp等）

opt：未知

in：输入网卡

out：输出网卡

source：原地址

destination：目的地址

每个chain有一个默认的匹配规则，如果一个chain的所有匹配规则都没匹配到就是用默认的匹配规则