如何理解Linux iptables的规则组成

如何理解Linux iptables的规则组成

Linux iptables是一个防火墙工具，可以用来防止网络攻击，控制网络流量，以及管理网络连接。它通过一系列的规则来实现这些功能。规则可以指定要接受或拒绝的流量，以及如何处理流量。

规则是由3个部分组成的：

1. 链：一个链是一组规则的集合，规则将流量发送到链中的下一条规则进行处理。有3种类型的链：INPUT、OUTPUT和FORWARD。

2. 规则：每条规则定义了如何处理流量。规则可以指定要接受或拒绝的流量，以及如何处理流量。

3. 目标：目标定义了规则应该如何处理流量。目标可以是 ACCEPT、DROP或者其他一些特殊目标。

链和规则是通过一个特殊的命令行工具来管理的。这个工具叫做iptables。使用iptables，你可以添加、删除和修改规则。

使用iptables的一个简单例子是，假设你想要拒绝所有来自互联网的SSH连接。要实现这个目标，你需要添加一条规则到INPUT链中。这条规则应该拒绝所有来自互联网的SSH连接，并且将流量发送到一个特殊的目标，比如REJECT。

要添加这条规则，你可以使用命令：

iptables -A INPUT -p tcp --dport ssh -j REJECT

这条命令意思是，添加一条规则到INPUT链中，规则应用于TCP协议，目标端口是SSH（22），并且将流量发送到REJECT目标。

这条规则会拒绝所有来自互联网的SSH连接，但是本地SSH连接仍然是允许的。

要想完全禁止SSH连接，你需要添加一条规则到OUTPUT链中。这条规则会禁止所有对外的SSH连接，包括本地连接。

要添加这条规则，你可以使用命令：

iptables -A OUTPUT -p tcp --dport ssh -j REJECT

这条命令意思是，添加一条规则到OUTPUT链中，规则应用于TCP协议，目标端口是SSH（22），并且将流量发送到REJECT目标。

这样，你就禁止了所有对外的SSH连接，包括本地连接。