iptables的结构：

iptables由上而下，由Tables，Chains，Rules组成。

一、iptables的表tables与链chains

iptables有Filter, NAT, Mangle, Raw四种内建表：

1. Filter表

Filter是iptables的默认表，它有以下三种内建链(chains)：

INPUT链 – 处理来自外部的数据。

OUTPUT链 – 处理向外发送的数据。

FORWARD链 – 将数据转发到本机的其他网卡设备上。

2. NAT表

NAT表有三种内建链：

PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址（destination ip address），通常用于DNAT(destination NAT)。

POSTROUTING链 – 处理即将离开本机的数据包。它会转换数据包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

OUTPUT链 – 处理本机产生的数据包。

3. Mangle表

Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链（chains）：

• PREROUTING

• OUTPUT

• FORWARD

• INPUT

• POSTROUTING

4. Raw表

Raw表用于处理异常，它具有2个内建链：

PREROUTING chain

OUTPUT chain

5.小结

二、IPTABLES 规则(Rules)

规则的关键知识点：

Rules包括一个条件和一个目标(target)

如果满足条件，就执行目标(target)中的规则或者特定值。

如果不满足条件，就判断下一条Rules。

目标值（Target Values）

在target里指定的特殊值：

ACCEPT – 允许防火墙接收数据包

DROP – 防火墙丢弃包

QUEUE – 防火墙将数据包移交到用户空间

RETURN – 防火墙停止执行当前链中的后续Rules，并返回到调用链(the calling chain)中。

实战

1.丢弃80端口的tcp连接

iptables -t filter -I INPUT -p tcp --dport 80 -j DROP

2.丢弃ssh不需要的包

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

• -m state --state ESTABLISHED,RELATED 是一个iptables规则中的匹配条件，用于匹配特定的连接状态。这个条件允许通过已建立或相关状态的连接。在iptables中，连接状态用于确定数据包在网络连接中的当前状态，以便过滤器可以根据这些状态来决定是否允许或拒绝数据包通过。

  • ESTABLISHED：表示数据包属于已建立的连接，即已经通过三次握手建立起连接的数据包。

  • RELATED：表示数据包与已建立的连接相关，例如某些协议（如FTP）会在数据连接之外建立一个控制连接，这些数据包就可以被标记为RELATED状态。

  通过在输出链中添加这个条件，你的iptables规则将允许出站SSH连接的响应数据包通过，确保SSH会话的正常运行。

3. 阻止无效的出站HTTP连接（80端口）

iptables -A OUTPUT -p tcp --sport 80 -m state --state NEW -j DROP

new 代表tcp三次握手中的第一次握手

这种连接状态的匹配可用于识别尚未建立的连接，从而可以应用适当的策略来控制是否允许它们通过防火墙。

在你的情景中，-m state --state NEW -j DROP 这样的规则将阻止新建立的、未经请求回应的连接通过，帮助增加服务器的安全性。这样做可以防止未经授权的数据流量进入服务器。