iptables 访问控制列表使用记录

  iptables 是linux操作系统上自带的防火墙程序，功能强大，能够依据策略过滤掉一些恶意访问流量，本次记录一下iptables的常见使用方法，未尽之处，欢迎补充。

一、iptables 下载

        我这里使用的是华为openEuler 22.03版本，使用yum 进行安装下载 iptables-services，其他发行版请自行百度；

yum install iptables iptables-services -y

二、查看防火墙规则

        服务安装完成之后，使用命令 iptables -vnL 即可查看当前服务器防火墙的访问控制规则，如图所示： 

iptables -vnL

        iptables filter表有三个规则链，INPUT、FORWARD、OUTPUT， 其中INPUT用来过滤目的地址是本机的流量，即访问本机的流量；FORWARD用来过滤掉不是目的本机，仅负责转发的流量包，OUTPUT负责过滤本机向外访问的流量数据；

三、增加规则

        这边以这台openEuler 22.03（IP：192.168.210.168）为例，限制3306端口仅为 192.168.210.1 去访问，其他IP主机均拒绝。

iptables -A INPUT -s 192.168.210.1 -p tcp --dport 3306 -j ACCEPT
放行源地址为192.168.210.1的主机访问本机3306端口
iptables -A INPUT -p tcp --dport 3306 -j DROP
阻断所有主机访问本机3306端口

        如下图，我们已经添加了两条访问规则到防火墙 。

        现在使用终端192.168.210.1进行访问目标服务器3306端口，正常访问，如图：

        同时我们使用另外一台终端192.168.210.135访问服务器3306端口，显示不可达，策略阻断成功。

三、插入规则

        这里，我们在拒绝所有终端访问服务器3306端口规则前增加一个规则放行192.168.210.135去访问服务器的3306端口；

iptables -I INPUT 2 -s 192.168.210.135 -p tcp --dport 3306 -j ACCEPT

        再次使用终端192.168.210.135去访问，服务器3306端口，成功可达。

四、删除规则 

        这里，我们演示删除放行192.168.210.1访问服务器3306端口的规则，如图所示：

iptables -D INPUT -s 192.168.210.1 -p tcp --dport 3306 -j ACCEPT

        删除后，我们使用192.168.210.1测试访问，显示不可达。

        综上，就是在日常运维过程中常间对IPtables防火墙的操作；

iptables -F //删除所有规则

        最后的最后，别忘记保存规则哈 service iptables save,否则服务重启规则会失效的

未尽或者错误之处，欢迎补充指正。