iptables的4表5链的处理流程

一：业务地址请求服务时，首先经过iptables服务，iptables通过校验规则，通过校验是否同意业务访问，规则从上到下，匹配规则都失败了的话，走默认规则
（1）Accept 允许通过访问
（2）DROP 拒绝服务
二：iptables的4表5链
1.filter表(过滤器的意思)安全组
2.nat表
3.raw表
4.mangle表
伍链
INPUT （防火墙规则，控制请求能否访问服务）
OUTPUT （请求完服务出去）
FORWARD （路过）
PREROUTING （请求到达这个服务之前）
POSTROUTING （数据包离开防火墙）

modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

iptables -nL 查看filter表的规则
iptables -t nat -nL 查看nat表的规则

实际操作

1.创建一个规则，禁止192.168.21.131这个源地址访问目的主机
iptables -t filter -I INPUT -s 192.168.21.131 -j DROP
删除第一条规则
iptables -D INPUT 1
返回无法到达
iptables -t filter -I INPUT -s 192.168.21.131 -j REJECT

禁止某个IP访问某个端口
iptables -t filter -I INPUT -s 192.168.21.131 -p tcp --dport 22 -j DROP
允许192.168.21.131通过访问

iptables -t filter -I INPUT ！ -s 192.168.21.131 -j DROP

禁止ping
禁止某个IP的ping
iptables -t filter -I INPUT -s 192.168.21.131 -p icmp -j DROP
禁止所有的ping
iptables -t filter -I INPUT -p icmp --icmp-type 8 -j DROP

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 80,433 -j ACCEPT
iptables -A INPUT -s 192.168.21.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP