linux中iptables详解

rwrr322

一、通用基础知识

1、基本概念

什么是防火墙？

所谓防火墙指的是工作于主机或网络的边缘，对于进出的报文根据事先定义的规则作检查，将那些能够被规则所匹配到的报文作出相应处理的组件。
    防火墙是由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。
    防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。


2、分类
    主机防火墙
    网络防火墙


    网络防火墙：
           ① 专业的硬件防火墙：
                  checkpoint, netscreen
                  有cpu有内存等，通过特殊架构构成，非常昂贵！
           ② 主机：
                  准备一台主机，配置多个网卡，一个接外网，一个接内网，所有从外网到内网的报文都经过这个主机，所有从内网到外网的报文也经过这台主机，主机上配置能够工作为防火墙的软件程序，这台主机也能扮演为网络防火墙。

    一个局域网内部的防火墙设置可能有以下几部分组成：
       ① 网络防火墙：保护内部网络和主机不被外部侵害；
       ② IDS：Intrusion Detecting System入侵检测系统
               NIDS ： 网络入侵检测系统
               HIDS ： 主机入侵检测系统
       ③ IPS: Intrusion Prevention System 入侵防御系统
       ④ 独立主机防火墙：保护个人用户主机网络通信安全

有些设置可能还会有HoneyPot: 蜜罐



二、linux中的防火墙

与外部网络联网通信时的数据报文流程：
        数据报文到达本机都是先到达内核的tcp/ip协议栈，因为网卡是硬件，硬件是直接内核管理的。然后在tcp/ip协议栈上，先要拆掉以太网帧，然后查报文的源ip和目标ip： ①如果是发往本机的，则根据tcp首部当中定义的目标端口送给用户空间的应用程序。 应用程序收到报文后一般需要回应，所以就需要生成新报文经由内核、网卡路由发出；② 数据报文不是发往本机的，需要由本机forward转发的，则经由网卡直接转发出去。

iptables: 程序
       规则编写工具，编号规则后附加在netfilter设置好的卡点上起作用

netfilter:
       网络过滤器, 内核中工作在TCP/IP网络协议栈上的框架；
       netfilter是在主机或网络上划定数据进出的必由关卡，就像建起围墙，只留这么几个出入口，然后等着iptables设定规则，什么该拦什么不拦，如果没有设定，那么什么都不做，数据包还是能自由出入这几个口的。linux中netfilter一共设置了5个卡点，叫做hook function钩子函数。

hooks function  :   
    抽象设置了5个报文经由卡点，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链
      ① prerouting:
          进入本机后路由功能发生之前（还没有检查是不是需要本机路由之前，也即在到网卡之前）
      ② input：
          到达本机内部
      ③ output:
          由本机发出
      ④ forward:
          由本机转发
      ⑤ postrouting：
          路由功能发生之后，即将离开本机之前

chain：每个钩子函数上可放置n条规则；对应于每个钩子上的多条规则就称为一个链（CHAIN）
         每个功能有多个链，形成一个表，因此内置有四表五链
        filter  ：            input, forward,  output
        nat     ：prerouting,                  output（少用） ,postrouting
        mangle  ：prerouting, input, forward,  output,         postrouting
        raw     ：prerouting,                  output

规则的功能：
        ①过  滤  ：firewall，最主要、最重要的功能。
        ②地址转换：不做防火墙时叫NAT Server，而不叫firewall
                    Network Address Translation
        ③mangle  ：修改报文首部中的某些信息（不包括地址信息）
        ④ raw    ：关闭nat表上启用的连接追踪功能（是NAT的辅助补充功能，只能在NAT发生的前半段）
        iptables中还有一种叫做自定义链的链，但不是实际存在的、固定不变的链，因此报文不可能经由自定义链，只有在被内置链上的规则引用才能生效（即做为自定义目标）


功能的优先级：
         由高而低：raw --> mangle --> nat --> filter

三、防火墙设置

    linux中用iptables程序设置防火墙各种规则。
    iptables程序实质上就是规则管理工具，能自动实现规则的语法检查，检查完后直接送往内核加载在netfilter之上起效用。

（一）防火墙设置流程

1、确定设置策略

    两种设置策略：
           a、只放行在名单上的，其他的都不放行 ——白名单，建议使用这种策略
           b、除了名单上的不放行，其他的都放行 ——黑名单
2、确定链

    由数据报文的流经过程以及要实现的功能，确定应在哪条链上设置规则
    考量点：
         (1) 要实现的功能：判断添加在哪个表上；
         (2) 报文流向及经由路径：判断添加在哪个链上
    报文流向决定设置规则的位置：
         到本内部：prerouting, input
         由本机发出：output, postrouting
         由本机转发：prerouting, forward, postrouing

3、确定每条链上规则的前后次序

    链上的规则次序 即为 检查次序，因此有一定的设置法则：
        (1) 同类规则，匹配范围小的放上面；
        (2) 不同类规则，匹配报文几率较大的放上面；
        (3) 应该设置默认策略；
    默认策略（POLICY）：链都应该有，以对那些无法由所有既定规则所匹配的数据报文进行处理；


4、用iptables命令设置
    设置后立即生效，但不会永久有效，重启后丢失。

5、保存设置好的规则

    如果需要让设置的规则能一直存在并能应用，需要使用保存命令保存于一定的文件中。

    方法一：
        保存于默认配置文件/etc/sysconfig/iptables中，系统重启后会自动加载此文件的设置建立防火墙
        保存现在运行的规则到配置文件 ： # service iptables save

        重载配置文件中的规则到内核中运行 ： # service iptables reload

    方法二：
        保存于某个制定的文件内，但系统重启后不会自动加载，需要运行时须手动加载

        保存现在运行的规则到某个指定的非配置文件中：# iptables-save > /PATH/TO/SOMEFILE
        重载某个指定的非配置文件中的规则到内核中运行：# iptables-restore < /PATH/FROM/SOMEFILE




（三）命令公式

规则的组成部分：

       报文的匹配条件, 匹配之后如何处理

           匹配条件：① 基本匹配条件、② 扩展匹配条件

           如何处理：① 内建处理机制、② 自定义处理机制（自定义的链）

iptables [-t TABLE] SUBCOMMAND CHAIN CRITERIA -j TARGET

（由于网速问题，大图上传不了，放在附件里了）

1、-t TABLE:

      默认为filter, 共有filter, nat, mangle, raw四个可用；

2、SUBCOMMAND：
（1）链：
        -F：flush，清空指定表的指定链上所有规则；省略链名时，清空表中的所有链；（注：不会冲刷掉policy！！！）
        -P：policy，设置链的默认处理机制；当所有都无法匹配或有匹配有无法做出有效处理机制时，默认策略即生效；
             filter表的可用策略：ACCEPT, DROP, REJECT
        -N：new, 新建一个用户自定义的链；自定义链只能作为默认链上的跳转对象，即通过在默认链中引用来使自定义链生效起作用；自定义链生效完可以跳转回某个内置链继续过滤。
        -X：drop，删除用户自定义的空链；非空自定义链和内置链无法删除；
        -E：rename，重命名自定义链；
        -Z：zero，将规则的计数器置0；

             注意：被引用中的自定义链，无法删除和改名

增删查改
（2）规则：
        -A：append，在链尾追加一条规则；
        -I：insert，在指定位置插入一条规则；
        -D：delete，删除指定的规则；
        -R：replace，替换指定的规则；
（3）查看：
        -L：list，列出指定链上的所有规则；
        -n: numeric，以数字格式显示地址和端口号，即不反解；
        -v: verbose，详细格式，显示规则的详细信息，包括规则计数器等；
        -vv:比v更详细
        -vvv:比vv更详细
        --line-number: 显示规则编号；
        -x: exactly，显示计数器的精确值；

3、CRITERIA

(1)通用匹配：

        [!] -s, --src, --source  IP|Network：检查报文中的源IP地址；
        -d, --dst, --destination：检查报文中的目标IP地址；
        -p, --protocol：检查报文中的协议，即ip首部中的protocols所标识的协议；tcp、udp或icmp三者之一；
        -i, --in-interface：数据报文的流入接口；通常只用于PREROUTING, INPUT, FORWARD链上的规则；
        -o, --out-interface：检查报文的流出接口；通常只用于FORWARD, OUTPUT, POSTROUTING链上的规则；

(2)扩展匹配：
        使用iptables的模块实现扩展性检查机制（rpm -ql iptables可中有/lib64/xtables/libxt_NAME.so或者/lib64/xtables/libipt_NAME.so的都是有扩展的，其中小写字母的表示是扩展模块的，大写字母的表示是扩展target的）
            扩展模块的：/lib64/xtables/libxt_string.so
                        /lib64/xtables/libxt_tcp.so
            扩展target的：/lib64/xtables/libipt_CLUSTERIP.so

    (2.1)隐式扩展：
        如果在通用匹配上使用-p选项指明了协议的话，则使用-m选项指明对其协议的扩展就变得可有可无了；
       ①tcp:
            --dport PORT[-PORT]    即可以指明一个或连续的多个端口
            --sport PORT[-PORT]
            --tcp-flags LIST1 LIST2
                        LIST1: 要检查的标志位；
                        LIST2：在LIST1中出现过的，且必须为1标记位；而余下的则必须为0;
                 例如：--tcp-flags syn,ack,fin,rst syn
                --syn：用于匹配tcp会话三次握手的第一次（等同于--tcp-flags syn,ack,fin,rst syn）；
       ②udp:
            --sport
            --dport
       ③icmp:
            --icmp-type
            ping的先发出的那根线就是8，无关s和d；响应的那根线就是0，无关自己是响应的还是对方响应的
                   8: echo request
                   0：echo reply

        练习：

     1、放行本机上的ssh和http服务；要求input和output策略默认均为DROP；

                [iyunv@kingdom ~]#iptables -t filter -I INPUT 1 -d 172.16.20.150 -p tcp -m tcp --dport 80 -jACCEPT

                [iyunv@kingdom ~]#iptables -t filter -I INPUT 1 -d 172.16.20.150 -p tcp -m tcp --dport 22 -jACCEPT

                [iyunv@kingdom ~]#iptables -t filter -I INPUT 2 -d 172.16.20.150 -p tcp -m tcp --dport 80 -jACCEPT

                [iyunv@kingdom ~]#iptables -t filter -I OUTPUT 1 -s 172.16.20.150 -p tcp -m tcp --sport 22 -jACCEPT

                [iyunv@kingdom ~]#iptables -t filter -I OUTPUT 2 -s 172.16.20.150 -p tcp -m tcp --sport 80 -jACCEPT

                [iyunv@kingdom ~]#iptables -t filter -P INPUT DROP

                [iyunv@kingdom ~]#iptables -t filter -P OUTPUT DROP

                [iyunv@kingdom ~]#iptables -L -n

                Chain INPUT (policyDROP)

                target     prot opt source               destination        

                ACCEPT     tcp --  0.0.0.0/0            172.16.20.150       tcp dpt:22

                ACCEPT     tcp --  0.0.0.0/0            172.16.20.150       tcp dpt:80

                Chain FORWARD(policy ACCEPT)

                target     prot opt source               destination        

                Chain OUTPUT (policyDROP)

                target     prot opt source               destination        

                ACCEPT     tcp --  172.16.20.150        0.0.0.0/0           tcp spt:22

                ACCEPT     tcp --  172.16.20.150        0.0.0.0/0           tcp spt:80

          2、开放本机对ping的响应，和ping请求；

                [iyunv@kingdom ~]#iptables -t filter -A INPUT -d 172.16.20.150 -p icmp -m icmp --icmp-type 8 -jACCEPT

                [iyunv@kingdom ~]#iptables -t filter -A OUTPUT -s 172.16.20.150 -p icmp --icmp-type 0 -j ACCEPT

                [iyunv@kingdom ~]#iptables -t filter -A OUTPUT -s 172.16.20.150 -p icmp -m icmp --icmp-type 8 -jACCEPT

                [iyunv@kingdom ~]#iptables -L -n

                Chain INPUT (policyDROP)

                target    prot opt source               destination        

                ACCEPT    tcp  --  0.0.0.0/0           172.16.20.150       tcp dpt:22

                ACCEPT    tcp  --  0.0.0.0/0           172.16.20.150       tcp dpt:80

                ACCEPT    icmp --  0.0.0.0/0            172.16.20.150      icmp type 8

      Chain FORWARD(policy ACCEPT)

                target    prot opt source               destination        

                Chain OUTPUT (policyDROP)

                target    prot opt source               destination        

                ACCEPT    tcp  --  172.16.20.150        0.0.0.0/0          tcp spt:22

                ACCEPT    tcp  --  172.16.20.150        0.0.0.0/0          tcp spt:80

                ACCEPT    icmp --  172.16.20.150        0.0.0.0/0          icmp type 0

                ACCEPT    icmp --  172.16.20.150        0.0.0.0/0          icmp type 8

（2.2）显式扩展：必须指明使用的扩展机制；

            -m 模块名称
               每个模块会引入新的匹配机制；

              想知道有哪些模块可用：
                 rpm -ql iptables
                 小写字母，以.so结尾；

①multiport扩展：
        以离散定义多端口匹配；最多指定15个端口；
        专用选项：
             --source-ports, --sports PORT[,PORT,...]
             --destination-ports, --dports PORT[,PORT,...]
             --ports PORT[,PORT,...] 无论是源还是目标都匹配，但实际中不常见，因为源和目标端口号一般都不同

          例子：
# iptables -I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80,443 -j ACCEPT
# iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp -m multiport --sports 22,80,443 -j ACCEPT

②iprange扩展：
         指定连续的ip地址范围；在匹配非整个网络地址时使用；
         专用选项：
              [!] --src-range IP[-IP]
              [!] --dst-range IP[-IP]
          示例：
# iptables -A INPUT -d 172.16.100.11 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT
# iptables -A OUTPUT -s 172.16.100.11 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT

③string扩展：
          检查报文中出现的字符串，与给定的字符串作匹配；
          字符串匹配检查算法：
                  kmp, bm
             目前来说，这两者在性能上没太大差别了，用哪个都可以。起的作用是加快匹配的速度。
          专用选项：
               --algo {kmp|bm}
               --string "STRING"
               --hex-string "HEX_STRING"：HEX_STRING为编码成16进制格式的字串；
            第一种写法：
                 --algo kmp --string ”sex“
            第二种写法：
                 --hex-string ”XXX“
                               XXX : 编码成的16进制格式的字串
          示例：
# iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp --sport 80 -m string --string "sex" --algo kmp -j REJECT

④time扩展：
          基于时间区间做访问控制
          专用选项：
              --datestart   YYYY[-MM][-DD][hh[:mm[:ss]]]
              --dattestop  YYYY[-MM][-DD][hh[:mm[:ss]]]
              --timestart   hh:mm[:ss]
              --timestop   hh:mm[:ss]
              --weekdays DAY1[,DAY2,...]
           示例：
# iptables -R INPUT 1 -d 172.16.100.11 -p tcp --dport 80 -m time --timestart 08:30 --timestop 18:30 --weekdays Mon,Tue,Thu,Fri -j REJECT

⑤connlimit扩展：
           基于连接数作限制；对每个IP能够发起的并发连接数作限制；
                    注：计数器是从rule生效时才开始计数的
           专用选项：
               --connlimit-above [n]
# iptables -I INPUT 2 -d 172.16.100.11 -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT

⑥limit扩展：
           基于发包速率作限制；
           令牌桶算法——只发这么多个令牌，匹配到了就给个令牌执行本rule的target，如果超过了限制的则本规则直接不管（相当于每隔几秒发一个令牌后就下班休息了，连关卡都不看了，由其他规则匹配。超过数量规则限制的则直接去匹配下面的规则，如果匹配到了就能执行对应的target，如果没有，则最终采用默认policy。
           专用选项：
                --limit  n[/second|/minute|/hour|/day]
                --limit-burst n
# iptables -R INPUT 3 -d 172.16.100.11 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT

练习：

(1) 配置本机的dns服务，并放行之；默认策略为drop；

(2) 配置本机的telnet服务，要求只允许来自于172.16.0.0/16网络中的主机访问，且只允许工作时间访问，而且，每个来源IP最多的并发连接数不能超过2个；

# iptables -t filter -I INPUT 3 -d 172.16.20.150 -p tcp -m tcp--dport 53 -p udp -m udp --dport 53 -j ACCEPT

# iptables -t filter -I OUPUT 3 -s 172.16.20.150 -p tcp -m tcp--sport 53 -p udp -m udp --sport 53 -j ACCEPT

# iptables -t filter -I OUTPUT 4 -s 172.16.20.150 -p tcp -m tcp-dport 53 -p udp -m udp --dport 53 -j ACCEPT

# iptables -t filter -I INPUT 4 -d 172.16.20.150 -p tcp -m tcp-sport 53 -p udp -m udp --sport 53 -j ACCEPT

# iptables -t filter -P INPUT DROP

# iptables -t filter -P OUPUT DROP

(2)

# iptables -t filter -I INPUT 5 -s 172.16.0.0/16 -d 172.16.20.150 -ptcp -m tcp --dport 23  -m time--timestart 08:30 --timestop 17:30 --weekdays Mon,Tue,Wen,Thu,Fri -m connlimit! --connlimit-above 2 -j ACCEPT

# iptables -t filter -I OUTPUT 5 -d 172.16.0.0/16 -s 172.16.20.150-p tcp -m tcp --sport 23  -m time--timestart 08:30 --timestop 17:30 --weekdays Mon,Tue,Wen,Thu,Fri -m connlimit! --connlimit-above 2 -j ACCEPT

⑦state扩展：
            启用连接追踪模板记录连接，并根据连接匹配连接状态的扩展；
                启用连接追踪功能之前：简单包过滤防火墙；
                启用连接追踪功能：带状态检测的包过滤防火墙；
            可以过滤掉事先埋伏在主机内的反弹木马以特定端口（如80）去主动连接某个客户端
            专用选项：
                --state STATE
                  NEW:
                     新建立的连接，连接追踪模板中无相应的条目时，客户端第一次发出的请求；
                  ESTABLISHED：
                     NEW状态之后，连接追踪模板中的条目删除之前所进行的通信过程，都称为                       ESTABLISHED；（理解：IP和端口号都是一样的）
                  RELATED：
                     相关联的连接，如ftp协议的命令连接与数据连接即为相关联的连接；（理解 ： IP是一样，但端口号不一样）
                  INVALIED:
                      无法识别的状态；如 ① syn 1，fin 1；② 6个标志位全为1 或全为0 ；
4、TARGET:
         ACCEPT：放行
         DROP：丢弃
         REJECT：明确拒绝

         SNAT：源地址转换
         DNAT：目标地址转换
         MASQUERADE ：动态地址转换（当私网主机是通过DHCP动态获得IP地址时使用）

         LOG：日志
         REDIRECT：端口重定向；
         RETURN: 返回至调用者；
         MARK：防火墙标记

（1）SNAT：

        主要用于实现让内网客户端访问外部主机时使用；
          注意：要定义在POSTROUTING链；也可以在OUTPUT上使用，但很少；
        定义方法：
# iptables -t nat -A POSTROUTING -s 内网网络或主机地址 -j SNAT --to-source NAT服务器上的某外网地址
（即要将发出的源地址改为NAT服务器上的外网地址，让外网的服务器能先回复到NAT上）

        另一个TARGET：
             MASQUERADE：地址伪装；能自行判断该转为哪个源地址；
             # iptables -t nat -A POSTROUTING -s 内网网络或主机地址 -j MASQUERADE

（2）DNAT：
        主要用于发布内部服务器，让内网中的服务器在外网中可以被访问到；
          注意：要定义在PREROUTING链；
        定义方法：
# iptables -t nat -A PREROUTING -d NAT服务器的某外网地址 -p 某协议 --dport 某端口 -j DNAT --to-destination 内网某服务器地址[:PORT]

练习：INPUT和OUTPUT默认策略为DROP；

1、限制本地主机的web服务器在周一不允许访问；新请求的速率不能超过100个每秒；web服务器包含了admin字符串的页面不允许访问；web服务器仅允许响应报文离开本机；

# iptables -A INPUT-s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m tcp --dport 80,443 -m time --weekdaysMon -j REJECT

# iptables -A INPUT-s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m tcp --dport 80,443 -m limit --limit100/second -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -A OUTPUT-s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m tcp --dport 80,443 -m string --string"admin" --algo kmp -j REJECT

# iptables -A OUTPUT-s 172.16.0.1 -p tcp -m state --state ESTABLISHED -j ACCEPT

# iptables -P INPUTDROP

# iptables -P OUTPUTDROP

2、在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给172.16.0.0网络中的主机访问；数据下载请求的次数每分钟不得超过5个；

# iptables -A INPUT-s 172.16.0.0/16 -d 172.16.0.1 -p tcp --dport 21 -m time --timestart 08:30--timestop 18:00 --weekdays Mon,Tue,Wen,Thu,Fri -m state --stateNEW,ESTABLISHED -j ACCEPT

# iptables -A INPUT-s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m time --timestart 08:30 --timestop18:00 --weekdays Mon,Tue,Wen,Thu,Fri -m limit --limit 5/minute -m state --stateRELATIVED -j ACCEPT

# iptables -A OUTPUT-s 172.16.0.1 -p tcp -m state --state ESTABLISHED -j ACCEPT

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机，x为你的座位号，新请求建立的速率一分钟不得超过2个；仅允许响应报文通过其服务端口离开本机；

# iptables -A INPUT-d 172.16.0.1 -p tcp -m tcp --dport 22 -m iprange --src-range172.16.20.1-172.16.20.100 -m limit --limit 2/minit -j ACCEPT

# iptables -A OUTPUT-s 172.16.0.1 -p tcp -m state --state ESTABLISHED -j ACCEPT

4、拒绝TCP标志位全部为1及全部为0的报文访问本机；

# iptables -A INPUT -d 172.16.0.1 -m tcp--tcp-flags all all -j REJECT

# iptables -A INPUT -d 172.16.0.1 -m tcp--tcp-flags all none -j REJECT

5、允许本机ping别的主机；但不开放别的主机ping本机；

# iptables -A OUTPUT-s 172.16.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT

# iptables -A INPUT-d 172.16.0.1 -p icmp -m state --state ESTABLISH -j ACCEPT

练习：判断下述规则的意义：

#iptables -N clean_in

在filter表中新建一个名字为clean_in的链

#iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP

经由clean_in到255.255.255.255的icmp包都丢弃

#iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP

经由clean_in到172.16.255.255的icmp包都丢弃

#iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP

经由clean_in新建立的连接的tcp包中追踪状态是NEW且不是（syn=1,ack=0,fin=0,rst=0）的都丢弃

#iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP

经由clean_in的tcp包中丢弃tcp标识都为1的包

#iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP

经由clean_in的tcp包中丢弃tcp标识都为0的包

#iptables -A clean_in -d 172.16.100.7 -j RETURN

经由clean_in的发往172.16.100.7的包都跳转至调用clean_in的链中规则的下一条接着处理

#iptables -A INPUT -d 172.16.100.7 -j clean_in

经由INPUT链的发往172.16.100.7的包都交由clean_in链处理

#iptables -A INPUT  -i lo -j ACCEPT

通过INPUT链时，数据报文指明接口为lo的都放行

#iptables -A OUTPUT -o lo -j ACCEPT

通过OUTPUT链时，发出的数据报文指明接口为lo的都放行

#iptables -A INPUT  -i eth0 -m multiport-p tcp --dports 53,113,135,137,139,445 -j DROP

经eth0流入的tcp数据包经由INPUT时，只要目标端口是53,113,135,137,139,445的都丢弃

#iptables -A INPUT  -i eth0 -m multiport-p udp --dports 53,113,135,137,139,445 -j DROP

经eth0流入的udp数据包经由INPUT时，只要目标端口是53,113,135,137,139,445的都丢弃

#iptables -A INPUT  -i eth0 -p udp --dport1026 -j DROP

经eth0流入的udp数据包经由INPUT时，只要目标端口是1026的丢弃

#iptables -A INPUT  -i eth0 -m multiport-p tcp --dports 1433,4899 -j DROP

经eth0流入的tcp数据包经由INPUT时，只要目标端口是1433和4899的都丢弃

#iptables -A INPUT  -p icmp -m limit--limit 10/second -j ACCEPT

进入的icmp包经由INPUT链时限速10个/秒，超过的不被本规则放行