服务器通常会安装防火墙,Iptables为比较常用的免费防火墙,Iptables能够提供数据包过滤,网络地址转换(NAT)等功能.在Debian上手工配置Iptables的资料比较少,本文做一个详细的介绍.

第一步,首先确定你的系统已经安装Iptables.打开SSH终端,输入
whereis iptables
如果能看到如下类似信息,说明你已经安装了iptables
iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz
如果不是这个提示,或者没有任何提示,那你的Debian上可能没有安装iptables
请使用如下命令安装:
apt-get install iptables

第二步:查看Iptables目前的配置信息
可以使用如下命令查看
iptables -L
如果你是第一次安装配置iptables,你可能会看到如下结果:

Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

这个结果,也就是防火墙充许所有的请求,就如没有设置防火墙一样.

第三步:配置Iptables
配置Iptables,我们先把一个基本的Iptables的规则文章保存起来,这个规则文章做为测试用
vim /etc/iptables.test.rules
然后在这个文章中输入如下规则内容。

*filter
# 允许回环网卡
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# 允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allows all outbound traffic
# 允许所有本机向外的访问（选这个的话就把其它OUTPUT规则删除即可）
#-A OUTPUT -j ACCEPT

# 允许ssh:22 http:80 https:443 ftp:21(20000-20500)端口进入访问
-A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -p tcp -s 0/0 --sport 20000:20500 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

#允许本地DNS（udp 53端口）和ntp（udp 123端口）访问外网
-A OUTPUT -p udp -d 8.8.8.8 --dport 53 -j ACCEPT
-A OUTPUT -p udp -d 8.8.4.4 --dport 53 -j ACCEPT
#-A OUTPUT -p udp --dport 123 -j ACCEPT

# 允许PING(不允许的话把下面那个删了就可以)
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#记录接收数据包被拒绝（log-level=7）的日志，最高记录频率为5条/分钟，日志可通过dmesg或syslog查看
#-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# 禁止其它未允许的规则访问:
-A OUTPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
COMMIT

保存本文件,使之生效,注意,iptables不需要重启,加载一次规则就成：
iptables-restore < /etc/iptables.test.rules

第四步:保存生效的配置,让系统重启的时候自动加载有效配置
编辑创建如下文件:
vim /etc/network/if-pre-up.d/iptables
添加如下内容:
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.test.rules
最后,设置可执行仅限
chmod +x /etc/network/if-pre-up.d/iptables

详解：
:INPUT ACCEPT [0:0]
# 该规则表示INPUT(进)表默认策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD(转)表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT(出)表默认策略是ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应，ESTABLISHED：已建立的链接状态。RELATED：该数据包与本机发出的数据包有关。

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。
#REJECT 是用来返回一个错误的包来回应匹配包，其他的等价于DROP，所以它是一个拒绝TARGET，在规则的结束。这个TARGET仅仅用在INPUT,FORWARD和OUTPUT链和用户自定义的链，下列选项是用来定义返回错误的结果的：
icmp-host-unreachable
icmp-port-unreachable

-m state --state <状态> 有数种状态，状态有： ? INVALID：无效的封包，例如数据破损的封包状态 ? ESTABLISHED：已经联机成功的联机状态； ? NEW：想要新建立联机的封包状态； ? RELATED：这个最常用！表示这个封包是与我们主机发送出去的封包有关， 可能是响应封包或者是联机成功之后的传送封包！这个状态很常被设定，因为设定了他之后，只要未来由本机发送出去的封包，即使我们没有设定封包的 INPUT 规则，该有关的封包还是可以进入我们主机， 可以简化相当多的设定规则

第五:其它
如果你想设置某ip段可以访问所有服务,你需要在iptables.test.rules文件中加入-A INPUT -m iprange --src-range 192.168.1.1-192.168.1.199 -j ACCEPT,然后从第三步再设置一次。

在Linux上，iptables是用于建立和维护IP包过滤规则表的管理工具，实际过滤工作由内核的netfilter模块负责。
规则表有几种（最常用的是filter表），每个表中可以包含若干规则链，每个规则链包含一组规则，每条规则定义一个匹配条件和处理动作。
常用的规则链：
INPUT： 处理从外部发给本机的网络包；
FORWARD： 处理从外部发来，需要转发到外部的网络包；
OUTPUT： 处理从本机发往外部的网络包；
常用的处理动作：
ACCEPT： 通过；
DROP： 抛弃；
QUEUE： 通过，并加入用户空间的队列中；
RETURN： 停止后续规则检查，直接转到默认处理；
分析一个实际的网络防火墙过滤表：
-A INPUT -i lo -j ACCEPT
-A INPUT表示加入INPUT链，对应接收数据包；-i lo表示来自本机网络接口(localhost)；-j ACCEPT表示处理动作为接受。整条规则表示所有本机发给自己的数据包可以通过。
-A INPUT -i !lo -d 127.0.0.0/8 -j REJECT
-i !lo表示非localhost的其他网络接口，-d 127.0.0.0/8 表示网络地址的匹配，使用网络掩码255.0.0.0（255的二进制有8个1，如果是掩码255.255.255.0，对应的数字为24）处理后与 127.0.0.0相同。整条规则表示不是来自本机，且IP地址以127开头的数据包全部丢弃；
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-m表示match，state –state ESTABLISHED,RELATED表示状态为已有连接通道上的网络包；
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-p对应网络协议，–dport对应端口号；两条规则表示接受http（80端口），https（443端口）的tcp包；
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
SSH协议使用22端口，这条规则表示接收新建SSH连接的数据包；
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
–icmp-type 8对应 echo-request(ping)，此条规则表示允许外部的ping命令；
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
记录接收数据包被拒绝（log-level=7）的日志，最高记录频率为5条/分钟，日志可通过dmesg或syslog查看
-A INPUT -j REJECT
-A FORWARD -j REJECT
-A OUTPUT -j ACCEPT
最后放一组默认规则：未匹配的所有接收数据包，拒绝；所有转发数据包，拒绝；所有外发数据包，允许；
如果要在android下通过iptables技术来控制app的网络访问权限，大致规则为：
-A OUTPUT -m owner --uid-owner [app-uid] -j REJECT