一、iptables规则的匹配条件类型有三类

1、通用匹配：可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件

2、隐含匹配：要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件

3、显式匹配：要求以“-m 扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件

二、通用匹配规则

1、协议匹配：-p 协议名

2、地址匹配：-s 源地址、-d 目的地址

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP

IP | IP/MASK | 0.0.0.0/0.0.0.0

而且地址可以取反，加一个“!”表示除了哪个IP之外

3、接口匹配：-i 进站网卡、-o 出站网卡

-i eth0：从这块网卡流入的数据

流入一般用在INPUT、FORWARD和PREROUTING链上

-o eth0：从这块网卡流出的数据

流出一般在OUTPUT、和POSTROUTING上

例1：iptables -A FORWARD ! -p icmp -j ACCEPT（除了icmp协议的数据包，别的协议的包都能转发）

例2：在网关型防火墙设置如下：

iptables -I FORWARD -s 192.168.159.135 -o eth1 -p tcp --sport 80 -j ACCEPT

注：192.168.159.135是企业内部的web服务器，eth1是网关防火墙的外网网卡，意思是：源地址为192.168.159.135的这台服务器tcp80端口可以回应外网请求，因为eth1是外网网卡，FORWARD转发链也对其ACCEPT了。

三、隐含匹配条件

之所有叫隐含，是因为它依赖某种协议才能搭配使用。

1、端口匹配：--sport [源端口]      --dport [目的端口]

例：iptables -A FORWARD -s 192.168.159.135/24 -p udp --dport 53 -j ACCEPT（因为设置的链是FORWARD，所以一般是网关型防火墙中设置的，源ip为192的主机可以访问其他网络的udp53端口，注意源和目的的身份切换一定要弄懂）

iptables -A FORWARD -d 1192.168.159.135/24 -p udp --sport 53 -j ACCEPT（网关型防火墙中设置的，来自于udp53端口的数据包可以访问我们的192主机）

iptables -A INPUT -p tcp --dport 20:23 -j ACCEPT（一般是主机型防火墙设置的，我们电脑的20到23端口可以被访问）

2、TCP标记匹配：--tcp-flags  [检查范围] [被设置的标记]

TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）

对于它，一般要跟两个参数：

1.检查的标志位

2.必须为1的标志位

--tcpflags syn,ack,fin,rst syn  =    --syn

表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn

例：iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ACK  SYN -j  DROP

检查到有SYN的数据包，就丢弃

3、ICMP类型匹配：--icmp-type  ICMP类型（ICMP类型有8、0）

例： iptables -A INPUT -p icmp --icmp-type 8 -j DROP  （别人ping我主机的请求被丢弃，8代表请求）

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT （我ping别人时，回来的包被允许（一去一回才知道ping没ping通），0表示带回来的icmp包）

iptables -p icmp -h （查看ICMP类型）

四、显示匹配条件

（1）多端口匹配：-m multiport --sports 源端口列表

-m multiport --sports 目的端口列表

例：iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

（2）IP范围匹配：-m iprange --src-range  IP范围

例：iptables -A FORWARD -p tcp -m iprange --src-range 192.168.159.135-192.168.159.140 -j ACCEPT

（3）MAC地址匹配：-m mac --mac-source MAC地址

例：iptables -A INPUT -m mac --mac-source 00:50:56:12:34:56 -j DROP

（4）状态匹配：-m state --state 连接状态

NEW：与任何连接无关的

ESTABLISHED：NEW状态之后，响应请求或已建立连接的

RELATED：与已有连接有相关性的，如FTP数据连接

例：只开放本机的Web服务，但对发给本机的TCP应答报文予以放行，其他入站报文均丢弃

iptables -P INPUT DROP

iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT

iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

实验：禁止internet访问内网，但内网可以访问internet

首先配置路由环境：

A机：只需要桥接网卡，作为外网。IP：172.17.253.101

route -n 查看网关-->route del default gw 172.17.0.1删除多余网关

添加路由记录route add default gw 172.17.253.193

手动当掉网卡：ifconfig eth1 down

B机：路由器，两个网卡都有，作为防火墙。IP:172.17.253.193 192.168.159.135

开启转发功能：

echo 1 > /proc/sys/net/ipv4/ip_forward

或者vim /etc/sysctl.conf

net.ipv4.ip_forward=1

sysctl -p（立即生效）

C机：只需要仅主机网卡，作为内网。IP:192.168.159.129

添加路由记录route add default gw 192.168.159.135

在防火墙上添加规则（B机）：

iptables -A FORWARD -s 192.168.159.129 -d 172.17.0.0/16 -m state --state NEW -j ACCEPT  #根据状态对内网到外网的新连接允许转发

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT 允许已经建立的连接

iptables -A FORWARD -j REJECT  拒绝其他所有

测试：

本文转自 优果馥思 51CTO博客，原文链接:http://blog.51cto.com/youguofusi/1978315