centos7防火墙机制iptables与ebtables差别

一、iptables

iptables是网络层的流量控制，主要适用于流量的来源和去向至少有一个是本机的情况。

1.iptables常用规则编写

这条规则的意思是，FORWARD链上，任何对22端口建立好的tcp连接，都不允许通过。

iptables -A FORWARD -p tcp -m state --state established,related -m tcp --dport 22 -j DROP

其中常用参数说明如下：

-t #tables 指的是操作的表，有四种(filter  nat   mangle   raw)，不指定就默认是filter.

-A #指定添加的链路，一般是PREROUTING（转发前）  POSTROUTING（转发后）  FORWARD（转发链路）
-I #指定添加的链路，不同的是，-A添加，-I插入，-I指定插入顺序，不指定就默认放在最前面，-A放在所有规则之后。iptables规则是从上到下执行的。

-p #指定协议（一般是tcp协议）

-m #指定模块的扩展功能（tcp模块扩展了--dport,  --tcp-flags,  --sync等功能）

-m state --state <状态> #一般有三种状态
▪ INVALID：无效的封包，例如数据破损的封包状态
▪ ESTABLISHED：已经联机成功的联机状态；
▪ NEW：想要新建立联机的封包状态； 

-j #指定进行的操作。DROP代表丢弃，ACCEPT接受

　　

2.iptables常用命令

#列出OUTPUT链路的规则，-n代表不对ip地址进行反查，-L查看当前表的所有规则，--line-numbers代表展示行号，-t表示查看的表，不指定默认filter表
iptables -nL OUTPUT --line-numbers

#删除OUTPUT链的第5条规则,因为刚才已经得到行号了
iptables -D OUTPUT 5

#清空所有规则-F
iptables -F

#修改规则-R
iptables -R INPUT 3 -j ACCEPT

3.iptables参数参考

Usage: iptables -[AD] chain rule-specification [options]
       iptables -I chain [rulenum] rule-specification [options]
       iptables -R chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LS] [chain [rulenum]] [options]
       iptables -[FZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)
 
Commands:
Either long or short options are allowed.
  --append  -A chain            Append to chain
  --delete  -D chain            Delete matching rule from chain
  --delete  -D chain rulenum
                                Delete rule rulenum (1 = first) from chain
  --insert  -I chain [rulenum]
                                Insert in chain as rulenum (default 1=first)
  --replace -R chain rulenum
                                Replace rule rulenum (1 = first) in chain
  --list    -L [chain [rulenum]]
                                List the rules in a chain or all chains
  --list-rules -S [chain [rulenum]]
                                Print the rules in a chain or all chains
  --flush   -F [chain]          Delete all rules in  chain or all chains
  --zero    -Z [chain [rulenum]]
                                Zero counters in chain or all chains
  --new     -N chain            Create a new user-defined chain
  --delete-chain
            -X [chain]          Delete a user-defined chain
  --policy  -P chain target
                                Change policy on chain to target
  --rename-chain
            -E old-chain new-chain
                                Change chain name, (moving any references)

　　

二.ebtables

ebtables是数据链路层网桥防火墙，适用于来源和去向都不是本机，但是来源和去向至少有一个是和本机桥接网络的服务器。（可能是本机上创建的虚拟机之类的）

1.ebtables常用规则编写

这条规则的意思是，指定filter表，指定FORWARD链，指定ipv4网络协议，指定ip协议为tcp，指定数据包来源是x.0.0.1,指定操作类型是拒绝

ebtables -t filter -A FORWARD -p ipv4  --ip-proto 6 --ip-src x.0.0.1  -j DROPq

其中参数说明如下：

-A：指定FORWARD链，也就是桥接时候，来源和去向都不是自己，只转发
-p:指明使用的协议类型，ipv4,arp等可选（使用时必选）详情见/etc/ethertypes
--ip-proto:IP包的类型，1为ICMP包，6为TCP包，17为UDP包，在/etc/protocols下有详细说明
--ip-src:IP包的源地址
--ip-dst:IP包的目的地址
--ip-sport:IP包的源端口
--ip-dport:IP包的目的端口

-j:指定操作,ACCEPT是接受,DROP是拒绝

这两个一般不常用
-i:输入interface
-o:输出interface

　　

2.ebtables常用命令

#清空当前规则
ebtables -F

#删除一条ebtables命令

　

3.一些注意事项

（1）在centos7使用ebtables的过程中，发现ebtables竟然是和firewall一致的。

　　也就是说，如果命令行使用了ebtables命令，立马就可以生效，但是只要不是永久保存，使用【firewall-cmd --reload】就会一夜回到解放前，所有ebtables规则都清空了。但是ebtables规则的保存目前来看意义不是很大。建议先用firewall命令，然后用ebtables命令，然后用iptables命令。

（2）ebtables指定的ip可以是一个网段，例如x.0.0.1可以换成x.0.0.0/24等。关于网关的说明，要继续学习，不过/8是从第二位开始全网段，/24就是最后一位不确定全网段。

---

参考文件：

iptables

https://www.cnblogs.com/miracle-luna/p/13718436.html

https://www.cnblogs.com/ftl1012/p/iptables.html

ebtables:

https://www.cnblogs.com/xuanxuanBOSS/p/11424290.html