數(shù)據(jù)包 → 原始表(PREROUTING) → 過濾表(FORWARD) → 網(wǎng)絡(luò)地址轉(zhuǎn)換表(POSTROUTING)
                        ↓
                   過濾表(INPUT/OUTPUT)

# 查看規(guī)則（顯示編號便于管理）
iptables -L INPUT -n --line-numbers

# 追加規(guī)則到鏈末尾
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 插入規(guī)則到鏈開頭
iptables -I INPUT -p tcp --dport 22 -j ACCEPT

# 插入到指定位置（如第3條規(guī)則前）
iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT

# 刪除指定規(guī)則
iptables -D INPUT 3

# 清空所有規(guī)則
iptables -F INPUT

#!/bin/bash
# mysql_whitelist.sh - MySQL端口安全加固腳本

PORT=3306
WHITELIST=("192.168.1.100" "192.168.1.101" "10.0.0.50")

echo "正在配置MySQL端口($PORT)白名單..."

# 步驟1：備份當前規(guī)則
iptables-save > /etc/iptables.backup.$(date +%Y%m%d_%H%M%S)

# 步驟2：清除舊規(guī)則（避免重復(fù)）
iptables -D INPUT -p tcp --dport $PORT -j DROP 2>/dev/null || true
for ip in "${WHITELIST[@]}"; do
    iptables -D INPUT -p tcp --dport $PORT -s $ip -j ACCEPT 2>/dev/null || true
done

# 步驟3：按正確順序添加規(guī)則
# 3.1 允許本地回環(huán)（必須）
iptables -I INPUT -i lo -j ACCEPT

# 3.2 允許已建立的連接（防止斷開當前會話）
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 3.3 添加白名單IP
for ip in "${WHITELIST[@]}"; do
    iptables -A INPUT -p tcp --dport $PORT -s $ip -j ACCEPT
    echo "  ? 允許IP: $ip"
done

# 3.4 拒絕其他所有訪問（這條規(guī)則必須最后添加！）
iptables -A INPUT -p tcp --dport $PORT -j DROP
echo "  ? 拒絕其他所有IP訪問"

# 步驟4：保存配置
iptables-save > /etc/sysconfig/iptables

# 步驟5：驗證配置
echo -e "\n驗證規(guī)則順序："
iptables -L INPUT -n --line-numbers | grep -E "(dpt:$PORT|policy)"

# ? 錯誤做法（常見陷阱）
iptables -A INPUT -p tcp --dport 3306 -j DROP      # 規(guī)則1：拒絕所有
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT  # 規(guī)則2：允許特定IP（永遠不會執(zhí)行?。?

# ? 正確做法
iptables -A INPUT -p tcp --dport 3306 -s 192.168.1.100 -j ACCEPT  # 規(guī)則1：允許特定IP
iptables -A INPUT -p tcp --dport 3306 -j DROP      # 規(guī)則2：拒絕其他

# 查看規(guī)則匹配計數(shù)器，如果ACCEPT規(guī)則計數(shù)為0，說明從未匹配
iptables -L INPUT -n -v

# 查看Docker創(chuàng)建的鏈
iptables -L -n | grep -i docker

# 典型輸出示例：
# Chain DOCKER (1 references)
# Chain DOCKER-ISOLATION (1 references)
# Chain DOCKER-USER (1 references)

#!/bin/bash
# docker_whitelist.sh - Docker容器端口白名單

CONTAINER_PORT=80
HOST_PORT=8080
WHITELIST=("192.168.1.100" "192.168.1.0/24")

echo "配置Docker容器端口白名單..."
echo "容器端口: $CONTAINER_PORT, 主機端口: $HOST_PORT"

# 清空DOCKER-USER鏈（注意：不影響其他Docker規(guī)則）
iptables -F DOCKER-USER

# 添加基礎(chǔ)規(guī)則
iptables -A DOCKER-USER -i lo -j ACCEPT
iptables -A DOCKER-USER -m state --state ESTABLISHED,RELATED -j ACCEPT

# 添加白名單
for ip in "${WHITELIST[@]}"; do
    iptables -A DOCKER-USER -p tcp --dport $HOST_PORT -s $ip -j ACCEPT
    echo "  ? 允許 $ip 訪問端口 $HOST_PORT"
done

# 拒絕其他所有訪問
iptables -A DOCKER-USER -p tcp --dport $HOST_PORT -j DROP
echo "  ? 拒絕其他IP訪問"

# 查看結(jié)果
echo -e "\n當前DOCKER-USER鏈規(guī)則："
iptables -L DOCKER-USER -n --line-numbers

# 檢查是否有DOCKER鏈
if ! iptables -L -n | grep -q "Chain DOCKER"; then
    echo "系統(tǒng)無DOCKER鏈，直接配置INPUT鏈"
    
    # 允許特定IP訪問Docker映射的端口
    iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.100 -j ACCEPT
    iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT
    
    # 拒絕其他
    iptables -A INPUT -p tcp --dport 8080 -j DROP
fi

# 只允許特定IP訪問
docker run -d \
  --name myapp \
  -p 192.168.1.100:8080:80 \
  nginx

# 允許多個IP訪問
docker run -d \
  --name myapp \
  -p 192.168.1.100:8080:80 \
  -p 192.168.1.101:8080:80 \
  nginx

# 查看當前配置
firewall-cmd --get-default-zone
firewall-cmd --list-all

# 添加富規(guī)則（永久生效）
firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4"
  source address="192.168.1.100"
  port port="3306" protocol="tcp"
  accept'

# 允許多個IP
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'

# 添加黑名單
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.10" reject'

# 重新加載（不中斷現(xiàn)有連接）
firewall-cmd --reload

# 方法1：直接允許端口訪問
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="8080" protocol="tcp" accept'

# 方法2：使用端口轉(zhuǎn)發(fā)（更靈活）
firewall-cmd --permanent --add-rich-rule='
  rule family="ipv4"
  source address="192.168.1.100"
  forward-port port="8080" protocol="tcp" to-port="80"'

# 創(chuàng)建ipset集合
ipset create mysql_whitelist hash:ip

# 批量添加IP
for ip in {1..100}; do
    ipset add mysql_whitelist 192.168.1.$ip
done

# 添加網(wǎng)段
ipset add mysql_whitelist 10.0.0.0/24

# 在iptables中使用
iptables -A INPUT -p tcp --dport 3306 -m set --match-set mysql_whitelist src -j ACCEPT

# 保存配置
ipset save > /etc/ipset.conf

#!/bin/bash
# firewall_manager.sh - 智能防火墻管理

set -euo pipefail

readonly LOG_FILE="/var/log/firewall_manager.log"
readonly BACKUP_DIR="/etc/iptables/backup"

log() {
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] $*" | tee -a "$LOG_FILE"
}

backup_rules() {
    mkdir -p "$BACKUP_DIR"
    local backup_file="$BACKUP_DIR/iptables_$(date +%Y%m%d_%H%M%S).rules"
    iptables-save > "$backup_file"
    log "規(guī)則已備份到: $backup_file"
}

whitelist_port() {
    local port=$1
    shift
    local ips=("$@")
    
    log "開始配置端口 $port 白名單"
    backup_rules
    
    # 清理舊規(guī)則
    iptables -D INPUT -p tcp --dport "$port" -j DROP 2>/dev/null || true
    
    # 添加新規(guī)則
    for ip in "${ips[@]}"; do
        if ! iptables -C INPUT -p tcp --dport "$port" -s "$ip" -j ACCEPT 2>/dev/null; then
            iptables -A INPUT -p tcp --dport "$port" -s "$ip" -j ACCEPT
            log "添加白名單: $ip -> 端口 $port"
        fi
    done
    
    # 添加拒絕規(guī)則（確保在最后）
    iptables -A INPUT -p tcp --dport "$port" -j DROP
    
    # 保存
    iptables-save > /etc/sysconfig/iptables
    log "配置完成"
}

# 使用示例
whitelist_port 3306 "192.168.1.100" "192.168.1.101" "10.0.0.50"

# 1. 檢查規(guī)則順序和匹配計數(shù)
iptables -L INPUT -n -v --line-numbers

# 2. 實時監(jiān)控規(guī)則匹配
watch -n 1 'iptables -L INPUT -n -v | grep :3306'

# 3. 測試連接并觀察計數(shù)變化
timeout 5 nc -zv 服務(wù)器IP 3306 && echo "連接成功" || echo "連接失敗"

# 4. 查看詳細日志（如果有LOG規(guī)則）
iptables -A INPUT -p tcp --dport 3306 -j LOG --log-prefix "[IPTABLES-DENY] "
tail -f /var/log/messages | grep IPTABLES-DENY

# 5. 檢查Docker相關(guān)規(guī)則
iptables -t nat -L -n
iptables -L FORWARD -n -v

# 清空所有規(guī)則（謹慎使用）
iptables -F
iptables -P INPUT ACCEPT

# 或者只恢復(fù)SSH訪問
iptables -I INPUT -p tcp --dport 22 -j ACCEPT

#!/bin/bash
# emergency_recovery.sh - 防火墻緊急恢復(fù)

# 創(chuàng)建恢復(fù)標記
touch /tmp/firewall_recovery_mode

# 設(shè)置寬松策略
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# 清空所有規(guī)則
iptables -F
iptables -t nat -F
iptables -t mangle -F

# 允許基本服務(wù)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "緊急恢復(fù)完成，請重新配置防火墻"

# CentOS/RHEL
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables

# Debian/Ubuntu
iptables-save > /etc/iptables/rules.v4
apt-get install iptables-persistent

iptables -A INPUT -p tcp --dport 3306 -s 10.0.0.50 -j ACCEPT -m comment --comment "允許DBA服務(wù)器訪問MySQL"

#!/bin/bash
# production_firewall_template.sh - 生產(chǎn)環(huán)境防火墻模板

set -e

# 備份
backup_rules() {
    iptables-save > /etc/iptables/backup/prod_$(date +%s).rules
}

# 初始化
init_firewall() {
    # 設(shè)置默認策略
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    
    # 基礎(chǔ)規(guī)則
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # ICMP（根據(jù)需要）
    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
}

# 服務(wù)規(guī)則
setup_services() {
    # SSH（限制IP段）
    iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/8 -j ACCEPT
    
    # Web服務(wù)
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    
    # 數(shù)據(jù)庫（嚴格白名單）
    local db_ips=("192.168.1.100" "192.168.1.101")
    for ip in "${db_ips[@]}"; do
        iptables -A INPUT -p tcp --dport 3306 -s "$ip" -j ACCEPT
    done
    iptables -A INPUT -p tcp --dport 3306 -j DROP
}

# 執(zhí)行
backup_rules
init_firewall
setup_services

# 保存
iptables-save > /etc/sysconfig/iptables
echo "防火墻配置完成"