iptables基础操作

### iptables防火墙

#### 1、基本操作

查看防火墙状态
service iptables status

停止防火墙
service iptables stop

启动防火墙
service iptables start

重启防火墙
service iptables restart

永久关闭防火墙
chkconfig iptables off

永久关闭后重启
chkconfig iptables on

#### 2、开启80端口
vim /etc/sysconfig/iptables

加入如下代码
`-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT`

保存退出后重启防火墙
service iptables restart

### 模拟 Windows 防火墙的行为
在写 iptables 的策略时需要写来回两个方向的策略，出站全允许了，入站还要管出站回来的包的策略，不写回包策略数据包就只出不进，也就断掉了。

默认策略设置为出站允许，入站拒绝：

```
# 默认出站策略为允许
iptables -P OUTPUT ACCEPT
# 默认入站策略为拒绝
iptables -P INPUT DROP
```
然后再写上端口策略：
```
iptable -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptable -I INPUT -p tcp -m tcp --dport 3389 -J ACCEPT
```

此时相当于少写了一个出站的策略，因为出站全部允许了，只写了入站策略。这四条策略写上去服务器的 80 和 3389 端口相当于放通了。但此时我们发现，所有的互联网的流量都被阻止了，同时也没法访问其它服务器。因为回来的包都被阻止了，这点与 Windows 是不一样的。
或者说 iptables 的粒度更细一些，已经到了包级别，而 Windows 防火墙和专用网络防火墙都是基于会话的，不用管具体的包的方向。当允许一个IP出站，那么与出站会话的两个方向的包都是放行的，不用分别写两条。

#### iptables跟踪机制
iptables 下除了对数据包级别进行过滤，它还有一个状态跟踪机制，可以跟踪会话的状态。我们加上会话状态的策略就可以仿真 Windows 防火墙的行为了。

`iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT`
以上策略可以保证所有出站的包都能回来，即 Linux 主机主动访问别人的包都可以正常回包。相关对方主动发起的数据包则通过默认阻止策略拒绝。这一条策略才让默认出站策略有意义，不然出站策略相当于只写了一半，数据能出去，回不来。也就是说以下面三条策略才相当于Windows下的默认策略的作用：

```
# 默认出站策略为允许
iptables -P OUTPUT ACCEPT
# 默认入站策略为拒绝
iptables -P INPUT DROP
# 充许出站策略出去的数据包回来
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```