1、自定义链


iptables -N test //test是新建的链，默认是在filter表

iptables -A test -p tcp --dport 30004 -j DROP  

iptables -A test -p tcp --dport 30005 -j DROP

iptables -A test -p tcp -m multiport --dport 20001,20003,20004 -j DROP

新建的链表默认是不生效的，需要把新建的链挂到系统默认的链表中去

如把上面的禁止访问的端口放在input链，那么，其它机器就不能访问本机的20001等端口了。

iptables -A INPUT -j test


[root@fw net]# iptables -L -n --line-number

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination        

1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

2    test       all  --  0.0.0.0/0            0.0.0.0/0          

Chain test (1 references)

num  target     prot opt source               destination        

1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:30004



2、状态机制


iptables指南说得比较详细：


State（状态）Explanation（注释）

NEW:说明这个包是我们看到的第一个 包。意思就是，这是conntrack模块看到的某个连接第一个包，它即将被匹配了。比如，我们看到一个SYN 包，是我们所留意的连接的第一个包，就要匹配它。第一个包也可能不是SYN包，但它仍会被认为是NEW状态。这样做有时会导致一些问题，但对某些情况是有非常大的帮助的。例如，在 我们想恢复某条从其他的防火墙丢失的连接时，或者某个连接已经超时，但实际上并未关闭时。

ESTABLISHED：ESTABLISHED已经注意到两个方向上 的数据传输，而且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是非常容 易理解的。只要发送并接到应答，连接就是ESTABLISHED的了。一个连接要从NEW变 为ESTABLISHED，只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防 火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED，只要它们是我 们所发出的信息的应答。

RELATED：RELATED是个比较麻烦的状态。当一 个连接和某个已处于ESTABLISHED状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想 是RELATED的，首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接，这 个新的连接就是RELATED的了，当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 连接就是和FTP-control有RELATED的。还有其他的例子，比如，通过IRC的DCC连接。有了这个状态，ICMP应 答、FTP传输、DCC等才能穿过防火墙正常工作。注意，大部分还有一些UDP协议都依赖这个机制。这些协议 是很复杂的，它们把连接信息放在数据包里，并且要求这些信息能被正确理解。

INVALID：INVALID说明数据包不能被识别属于 哪个连接或没有任何状态。有几个原因可以产生这种情况，比如，内存溢出，收到不知属于哪个连接的ICMP 错误信息。一般地，我们DROP这个状态的任何东西。


一般把 established related两个状态放行

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



3、其它


里面总结的非常好，有一个是马哥门徒。