1、相關概念：

規則：其實就是管理員預設定的的條件，規則儲存在核心空間的資訊過濾表中，這些規則分別指定了源地址，目的地址，傳輸協議及服務型別等所有待檢查資料包的特徵和目標。當資料包與規則不匹配時，將該資料包送往該鏈中下一條規則檢查；當資料包與規則匹配時，iptables就根據規則所定義的方法處理資料包，如通過（ACCEPT），丟棄（DROP），拒絕（REJECT），排隊（QUEUE）或者返回（RETURN）等。鏈：鏈是資料包傳播的路徑，每個鏈其實就是眾多規則中的一個檢查清單，每條鏈中可以有一條或者數條規則。表：表是包含僅處理特定型別資訊包的規則和鏈的資訊包過濾表。iptables內建了三種表：

Filter-----過濾表
Nat--------網路地址轉換表
mangle-----資料包處理表
INPUT鏈----處理輸入包的規則鏈
OUTPUT鏈---處理輸出包的規則鏈
FORWORD----處理轉發包的規則鏈
PREROUTING-對到達且未經路由判斷之前的包進行處理的規則鏈

（1）filter表是iptables的預設表，如果沒有指定使用那個表，iptables預設使用filter表執行所有的命令。filter表包含了INPUT鏈（處理進入的資料包），FORWORD鏈（處理轉發的資料包）和OUTPUT

（2）nat表主要用於進行網路地址轉換。nat表有OUTPUT、PREROUTING、POSTROUTING三種鍊形式

（3）相關引數

-t指定表名稱，-n不做解析，-L列出指定表中策略，-A增加策略，-p協議，--dport埠，-s資料來源，-j動作，ACCEPT允許，DROP丟棄，REJECT拒絕，

-N增加鏈，-E修改鏈的名稱，-X刪除鏈，-D刪除指定策略，-I插入指定策略，-R修改指定策略，-P修改預設策略

2、服務安裝啟動

yuminstall iptables-services ---安裝管理工具

systecmtlstop firewalld ---

systemctlstart iptables

3、相關命令（策略按表中順序從上到下依次執行）

iptables-F ---重新整理策略

serviceiptables save ---儲存當前策略

iptables-nL ---顯示當前策略

iptables-A INPUT -i lo -j ACCEPT ---允許訪問本機訪問

iptables-A INPUT -s 172.25.254.200 -p tcp --dport 22 -j ACCEPT ---允許訪問22埠

iptables-A INPUT -p tcp --dport 80 -j ACCEPT ---允許200主機訪問80埠

iptables-A INPUT -j REJECT ---拒絕所有主機訪問

可以通過在200主機ssh登陸100主機測試，在50主機ssh測試

在200和100主機分別在瀏覽器登陸

目的地址與源地址轉換：

iptables-t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.239 ---源地址轉換為239主機地址

iptables-t nat -A PREROUTING -i eth0 -d 172.25.254.239 -j DNAT --to-dest

172.25.39.139 ---目的地址轉為139

sysctl-a | grep ip_forward ---檢視核心路由功能開啟與否，如果未開啟修改其配置檔案開啟核心路由功能

vim/etc/sysctl.conf

net.ipv4.ip_forward=1

sysctl-p ---讓上述生效

測試