1.表与链

表是对功能的分类，防火墙功能filter表，共享上网，端口转发nat表,其他raw表，mangle表

链对数据流进行处理，需要使用不同的链（数据流入（INPUT）,数据流出（output）），其他

FORWARD，PREROUTING,POSTROUTING。

2.iptables使用

安装1.yum install -y iptables-services

防火墙相关模块加载到内核中

 modprobe ip_tablesmodprobe iptable_filtermodprobe iptable_natmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_nat_ftpmodprobe ipt_state

可以 把这部分写入rc.local（需要有执行权限）中，开机自启动。

关闭firewalld       systemctl stop firewalld                   systemctl   disable     firewalld

启动iptables        systemctl start iptables.service

查看当前防火墙规则

iptables -nL

清空规则

iptables -F

iptables -X

iptables -Z

追加规则(不指定表时默认filter表)

禁止22端口被访问

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

禁止10.0.0.51这个ip访问

iptables -I INPUT -s 10.0.0.51 -j DROP

-I和-A区别：A是插入，I是追加成第一个规则，拒绝类规则使用-I。

简单记忆：iptables  -t   指定表     -AID     链（往链上添加追加删除规则，如果是删除加数字表示删除第几条）  -p   协议      --dport(--sport)    端口       -d(-s)      ip       -j 行为（ACCEPT或DROP）

删除规则

iptables -D INPUT 2（删除第二条规则）

#屏蔽某个网段
iptables -t filter -I INPUT -s 10.0.0.0/24 -j DROP
#只允许特定网段访问(除了72.16.1.0/24，其他都无法访问)
iptables -I INPUT ! -s 172.16.1.0/24 -j DROP

拒绝多个端口

#拒绝1到100端口
iptables -t filter -I INPUT -p tcp --dport 1:100 -j DROP
#拒绝88，99端口
iptables -t filter -I INPUT -m multiport -p tcp --dport 88,99 -j DROP

禁止ping

iptables -I INPUT -p icmp -j DROP

备份规则iptables-save>/etc/sysconfig/iptables

进行恢复iptables-restore>/etc/sysconfig/iptables