小楼一夜听春雨，深巷明朝卖杏花

图文并茂理解iptables如果你是一个新手，在阅读如下文章时，请坚持读到最后，读的过程中可能会有障碍，但是在读完以后，你会发现你已经明白了。在进行iptables实验时，请务必在测试机上进行。

之前也学习过Nginx的限制，只不过它的限制是应用层面的限制，它还要将所有的请求经过网络层送到应用层做限制，而现在这个直接在内核层面做限制。如果请求的是目标的80端口，那么去调用connlimit模块，当超过2个连接并发数的时候那么就拒绝掉。示例使用脚本模拟DDOS攻击，然后检查网站是否异常，如果异常，则使用jptables限制并发连接数。可以看到有很多的状态为RECV状态，还没有被ACK掉，进入了半连接池队列。connlimit 扩展模块，限制每个客户端P地址到服务器的并行连接数。

对方ping不通我，但是我为什么不能够去ping通别人呢？我去ping它的时候通过output出去了，它在返回的得从input链进来，input进来一匹配就是icmp被拒绝了，所以别人ping不通我，我也ping不通别人。ping的过程当中会发送请求，然后对端回复响应，请求类型为request，响应类型为reply。指定ICMP类型，echo-request（8请求）、echo-reply（O回应）但是我希望别人ping不通我，我可以ping通别人。我们只拒绝request，不拒绝reply的。

所以prerouting就送给forward，那么就在forward上面做策略，如果符合JD那么就拒绝，到不了postingrouting上面去，那么这样就到不了服务器，这就是基于关键字做条件判断，如果符合预期则允许。因为请求经过prerouting送input，input构建响应报文，构建了通过output出去，构建响应报文里面带的关键字有video，那么我要在output上将其关闭掉，这样你去请求video是永远没有办法访问的。在请求我的时候做不了任何的策略，但是在响应的时候可以做策略和规则的匹配。

扩展匹配是实现更加高级的功能，扩展模块，这些模块在在IP tables中非常的多，之前--deport只能添加一个端口，或者说是一个连续的端口，mutiport可以添加不连续的端口。示例∶10.0.0.10 访问本机 20、21、80、443允许通过；示例： 允许10.0.0.10访问本机的20-22、21、80、443。-p不属于扩展模块的动作，所以不能放里面。之前是基本的匹配，现在可以看看扩展匹配。

规则从上到下匹配，如果IP来源10.0.0.1符合规则，那么下面规则就不执行了，如果来源于其他规则不满足，那么就走下面，任何地址到本机的22都拒绝。如果不符合这条drop的规则，那么就继续往下去匹配，下面没有规则就回到链的默认规则，默认规则是ACCEPT，只要没有符合这条规则，那么就都允许。drop就是什么消息都不返回，reject就会返回因为防火墙阻止了，也就是一个会返回消息，一个不会返回消息。仅允许'10.0.0.1'访问'10.0.0.200'服务器的'22'端口、其他地址全部拒绝。......

数据包的过滤基于规则，而规则是由匹配条件+动作组成。那我们对规则的操作无非就是增删查改。操作规则的语法∶iptables【-t表名】选项【链名】【规则】【动作】操作规则之前我们需要考量如下两个问题∶1）要实现什么功能∶判断添加到哪个表上2）报文流经的路线∶判断添加到哪个链上下面都是选项如何查看规则：查看规则属于链当中的第几条，-L 查看 -n 不解析 -v 详细 --line-numbers 编号添加规则：禁止 ping在filter当中，因为是请求本机，所以在input当中去做。...

这篇文章会尽量以通俗易懂的方式描述iptables的相关概念，请耐心的读完它。防火墙相关概念此处先描述一些相关概念。从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。主机防火墙：针对于单个主机进行防护。 网络防火墙：往往处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。网络防火墙和主机防火墙并不冲突，可以理解为，网络防火墙主外（集体）， 主机防火墙主内（个人）。从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙：在硬件级别实.....