介紹：

 防火墻默認有四表五鏈  
  
 四表：（表的優先級：raw > mangle > nat > filter ）
   1.Raw表——兩個鏈：PREROUTING、OUTPUT
     作用：決定數據包是否被狀態跟蹤機制處理  內核模塊：iptable_raw
   2.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
     作用：修改數據包的服務類型、TTL、并且可以配置路由實現QOS內核模塊：iptable_mangle
   3.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
     作用：用于網絡地址轉換（IP、端口） 內核模塊：iptable_nat
   4.filter表——三個鏈：INPUT、OUTPUT、FORWARD
     作用：過濾數據包，定義拒絕或者允許  內核模塊：iptables_filter

 五鏈：（默認的，不能刪除，但能清除里面的規則）
   1.INPUT——進來的數據包應用此規則鏈中的策略
   2.OUTPUT——外出的數據包應用此規則鏈中的策略
   3.FORWARD——轉發數據包時應用此規則鏈中的策略
   4.PREROUTING——對數據包作路由選擇前應用此鏈中的規則
   5.POSTROUTING——對數據包作路由選擇后應用此鏈中的規則

一、開始對防火墻配置時：
  iptables   -X(清除所有自定義規則鏈)
  iptables  -F(清除所有規則) 
  iptables  -L(列出所有[加n 以數字形式顯示IP])

二、編寫規則：
  iptables  -I (插入規則) 規則鏈名 優先級
  iptables  -A (增加規則，默認是) 規則鏈名
  iptables  -D (刪除規則) 規則鏈名 序號  
  iptables   -N (自定義規則鏈名) 
  iptables   -P (默認) 規則鏈名 DROP(拒絕)或者ACCEPT(允許) PS:建議除緊急情況外，最后配置
           -p (協議) 
             --sport(源端口) 
                 --dport(目的端口)  
              -s (源地址) 
            -d(目的地址)
           -i(入網卡) 
           -o(出網卡)  
           -m(擴展）
            1、state --state RELATED,ESTABLISHED //用狀態檢測，因回來的數據沒能轉發。         2、limit --limit 5/m --limit-burst 10//10個通行證，每分鐘增加5個              3、connlimit --connlimit-above 1 //每個IP地址只允許1個連接     
              -j (行為) 
             ACCEPT(接受)   
             DROP(停止) 
             DNAT(目的地址轉發)一般在PREROUTING鏈中
             SNAT(源地址轉發) 一般在POSTROUTING鏈中 
             規則鏈名(加入這條規則鏈)  
             MASQUSERADE(地址偽裝)  
             --to-destination(目標地址)
              -t nat (選擇nat表，一般地址映射用到)
           --line-number  （顯示序號）
例子：

1）linux系統作為服務器和防火墻時： 
 1.允許外界能訪問我的80端口httpd服務：            
   iptables -A INPUT -p tcp --dport 80 -j ACCEPT  tcp協議目的端口80在入站規則通過 
    iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT tcp協議源端口80在出站規則通過
 
  也可以自定義規則鏈：
    iptables -N httpd-in          //自定義規則名為httpd-in
    iptalbes -A INPUT -j httpd-in     //把httpd-in規則鏈加入到INPUT鏈
    iptables -A httpd-in -p tcp --dport 80 -j ACCEPT tcp協議目的端口80在httpd-in鏈通過
  
    iptables -N httpd-out         //自定義規則名為httpd-out
    iptalbes -A OUTPUT -j httpd-out   //把httpd-out規則鏈加入到OUTPUT鏈
    iptables -A httpd-out -p tcp --sport 80 -j ACCEPT tcp協議源端口80在httpd-out鏈通過 自定義規則鏈一定要加入到默認規則鏈中，可以使得iptables默認規則鏈不至于混亂無序

 2.允許ping：(只要前面兩條就可ping通)
    iptables -A INPUT -i eth0 -p icmp -j ACCEPT  eth0網卡入站時的icmp包允許通過
    iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT eth0網卡出站時的icmp包允許通過
    iptables -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 從eth0網卡出站時的狀態檢測允許

2）linux系統只作為防火墻時：
    echo 1 > /proc/sys/net/ipv4/ip_forward    /啟動路由功能，允許轉發
  1.允許80端口httpd服務轉發：
   iptables -A FORWARD -p tcp --dport 80 -j ACCEPT  //允許tcp目的端口80轉發 

  2.允許ping轉發：
    iptables -A FORWARD -p icmp -j ACCEPT    //允許icmp包轉發

  3.目的地址映射：
   iptables –t nat –A PREROUTING –d 192.168.99.101 –j DNAT --to 192.168.100.102 //路由前，目的IP：192.168.99.101 轉換成IP：192.168.100.102）

  4.內網源地址隱藏：
   iptables -t nat -A POSTROUTING -j MASQUERADE   //路由后，內網地址隱藏，源地址變成防火墻外網IP地址

  5.訪問限時：（date顯示時間，072016182005[月日時分年]7月20號16點18分2005年，直接date 數字改系統時間進行測試）    
   iptables –I FORWARD –s 192.168.100.0/24 –m time --timestart 16:10 --timestop 18:10 -j ACCEPT   //對源網段192.168.100.0/24，開始時間16：10-18：10 允許通過
   iptables –I FORWARD –d 192.168.100.0/24 –m time --timestart 16:10 --timestop 18:10 -j ACCEPT  //對目的網段192.168.100.0/24，開始時間16：10-18：10 允許通過

  6.訪問限速：
   iptables -I FORWARD -p tcp --dport 21  -m connlimit --connlimit-above 1 -j DROP //對21端口轉發，每個IP地址超過1個連接就拒絕

3）使用日志監控程序記錄：      
   /usr/local/ulogd/sbin/ulogd  &      //啟動這個程序  
   iptables -A FORWARD -p icmp -j ACCEPT //允許icmp轉發鏈
   iptables -A FORWARD -p icmp -j ULOG  //對icmp轉發鏈進行監控   
 
以上是我個人學習積累到的知識，如有需要更正或者增加的地方，歡迎來與我交流學習一番，共同進步，謝謝觀看。