linux 防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙。
一、iptable 操作命令参数详解

    iptables 指令

    语法：

         iptables [-t table] command [match] [-j target/jump]

        
        -t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，

          当未指定规则表时，则一律视为是 filter。

         *nat 此规则表拥有 Prerouting 和 postrouting 两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（SNATDNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。

        *mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则链。除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。

        *filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。

 4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter
            举例来说:如果PRROUTING链上,即有mangle表,也有nat表,那么先由mangle处理,然后由nat表处理

        *RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.
        RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。
            -A  APPEND，追加一条规则（放到最后） 

iptables -A INPUT -j ACCEPT       允许所有访问本机 IP 的数据包通过
            -I INSERT，插入一条规则 

iptables -I INPUT -j DROP         在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条）
      在Filter表的INPUT链中插入一条防护墙规则（为链中第二条规则）:
        [root@s2 ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
            -D DELETE，删除一条规则 
      iptables -D INPUT 3（按号码匹配）     删除 filter 表 INPUT 链中的第三条规则（不管它的内容是什么）
            -R REPLACE，替换一条规则
      iptables -R INPUT 9 -j ACCEPT     将原来编号为 9 的规则内容替换为“-j ACCEPT”
            -P POLICY，设置某个链的默认规则
      iptables -P INPUT DROP     设置 filter 表 INPUT 链的默认规则是 DROP
             -Z, --zero
      iptables -Z INPUT

        说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。
            -N, --new-chain
      iptables -N allowed            说明 定义新的规则链。
            -X, --delete-chain
      iptables -X allowed            说明 删除某个规则链。

   

2、常用封包比对参数：(-p协议、-s源地址、-d目的地址、--sport源端口、--dport目的端口、-i 进入网卡、-o 出去网卡)
      

按多端口或连续端口匹配
   20:  表示20以后的所有端口
    20:100  表示20到100的端口
    :20  表示20之前的所有端口 
     -m multiport [--prots, --sports,--dports]
    例子： # iptables -A INPUT -p tcp -m multiport --dports 21,20,25,53,80 -j 

等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对
        --icmp-type
    iptables -A INPUT -p icmp --icmp-type 8 
    用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。 案例ICMP类型是:8
        -m limit --limit
    iptables -A INPUT -m limit --limit 3/sec --limit-burst 5
        -m mac --mac-source    
    范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

说明 用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting规则炼上，这是因为封包要送出到网后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到个网络接口去。

        --mark

    范例 iptables -t mangle -A INPUT -m mark --mark 1

说明 用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最不可以超过 4294967296。

        -m owner --uid-owner

    范例 iptables -A OUTPUT -m owner --uid-owner 500

说明 用来比对来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 

root 或其它身分将敏感数据传送出，可以降低系统被骇的损失。可惜这个功能无法比对出

来自其它主机的封包。

        -m owner --gid-owner

    范例 iptables -A OUTPUT -m owner --gid-owner 0

说明 用来比对来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。

        -m owner --pid-owner

    范例 iptables -A OUTPUT -m owner --pid-owner 78

    说明 用来比对来自本机的封包，是否为某特定行程所产生的，使用时机同上。

        -m owner --sid-owner

    范例 iptables -A OUTPUT -m owner --sid-owner 100

    说明 用来比对来自本机的封包，是否为某特定联机（Session ID）的响应封包，使用时

机同上。

        -m state --state

    范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED

    说明 用来比对联机状态，联机状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。

INVALID 表示该封包的联机编号（Session ID）无法辨识或编号不正确。

ESTABLISHED 表示该封包属于某个已经建立的联机。

NEW 表示该封包想要起始一个联机（重设联机或将联机重导向）。

RELATED 表示该封包是属于某个已经建立的联机，所建立的新联机。例如：FTP-DATA 联机必定是源自某个 FTP 联机。