中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

      Iptables防火墻簡(jiǎn)介

      Netfilter/Iptables(以下簡(jiǎn)稱Iptables)是unix/linux自帶的一款優(yōu)秀且開放源代碼的完全自由的基于包過濾的防火墻工具，它的功能十分強(qiáng)大，使用非常靈活，可以對(duì)流入和流出服務(wù)器的數(shù)據(jù)包進(jìn)行很精細(xì)的控制。特別是它可以在一臺(tái)非常低的硬件配置下跑得非常好。IPtables是linux2.4及2.6內(nèi)核中集成的服務(wù)。其功能與安全性比其老一輩ipfwadm，ipchains強(qiáng)大的多，Iptables主要工作在OSI七層的二、三、四層。

Iptables名詞和術(shù)語(yǔ)

容器

      用來(lái)形容包含或者說(shuō)屬于的關(guān)系

      Netfilter/iptables是表的容器，iptables包含的各個(gè)表
      表(table)

      iptables的表又是鏈的容器

鏈(chains)

      INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

      鏈?zhǔn)且?guī)則的容器

規(guī)則(Policy)

      一條條過濾的語(yǔ)句 Policy

filter表

      主要和主機(jī)自身有關(guān)，真正負(fù)責(zé)主機(jī)防火墻功能的（過濾流入流出主機(jī)的數(shù)據(jù)包）。filter表是iptables默認(rèn)使用的表。這個(gè)表定義了三個(gè)鏈（Chains）；

•       INPUT： 負(fù)責(zé)過濾所有目標(biāo)地址是主機(jī)地址的數(shù)據(jù)包。通俗的講，就是過濾進(jìn)入主機(jī)的數(shù)據(jù)包。

•       FORWARD：負(fù)責(zé)轉(zhuǎn)發(fā)流經(jīng)主機(jī)的數(shù)據(jù)包。起轉(zhuǎn)發(fā)的作用，和Nat關(guān)系很大。LVS NAT模式。net.ipv4_forward = 1

•       OUTPUT：處理所有源地址是本機(jī)地址的數(shù)據(jù)包，通俗的講，就是處理從主機(jī)發(fā)出去的數(shù)據(jù)包。

nat表

      負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換，即來(lái)源與目的ip地址和port的轉(zhuǎn)換。
      應(yīng)用：和主機(jī)本身無(wú)關(guān)。一般用于局域網(wǎng)共享上網(wǎng)或者特殊的端口轉(zhuǎn)換服務(wù)相關(guān)。

      這個(gè)表定義了三個(gè)鏈（Chainc），nat功能就相當(dāng)于網(wǎng)絡(luò)的acl控制。和網(wǎng)絡(luò)交換機(jī)acl類似。

•       OUTPUT：和主機(jī)發(fā)出去的數(shù)據(jù)包有關(guān)。改變主機(jī)發(fā)出數(shù)據(jù)包的目標(biāo)地址。

•       PREROUTING:在數(shù)據(jù)包到達(dá)防火墻時(shí)進(jìn)行路由判斷之前執(zhí)行的規(guī)則，作用是改變數(shù)據(jù)包的目的地址、目的端口等。

•       POSTROUTING:在數(shù)據(jù)包離開防火墻時(shí)進(jìn)行路由判斷之后執(zhí)行的規(guī)則，作用改變數(shù)據(jù)包的源地址、源端口等，例如：我們現(xiàn)在的筆記本和虛擬機(jī)都是192.168.30.0/24，就是出網(wǎng)的時(shí)候被我們企業(yè)路由器把源地址改成了公網(wǎng)地址了。生產(chǎn)應(yīng)用：局域網(wǎng)共享上網(wǎng)。

Iptables工作流程

iptables工作流程

排除mangle表

數(shù)據(jù)包流向

      規(guī)則從上往下匹配，只要匹配到就不往下匹配，如果沒有匹配上就走默認(rèn)規(guī)則。

1.       防火墻是層層過濾的。實(shí)際上是按照配置規(guī)則的順序從上到下，從前到后進(jìn)行過濾的。

2.       如果匹配上規(guī)則，則明確表明是阻止還是通過，數(shù)據(jù)包就不再匹配任何新規(guī)則了。

3.       如果所有規(guī)則中沒有明確表明是阻止還是通過，也就是沒有匹配規(guī)則，向下進(jìn)行匹配，直到匹配默認(rèn)規(guī)則得到明確的阻止還是通過。

4.       防火墻默認(rèn)規(guī)則是對(duì)應(yīng)鏈的所有的規(guī)則執(zhí)行完才會(huì)執(zhí)行的。

基本語(yǔ)法Filter

      Iptables啟動(dòng)方式
      /etc/init.d/iptables restart
      先來(lái)看幾個(gè)常用對(duì)鏈的操作,常用的就那么幾種
      -I(插入) -A(追加) -R(替換) -D（刪除） -L（列表顯示）
      這里要說(shuō)明的就是-I將會(huì)把規(guī)則放在第一行，-A將會(huì)放在最后一行。
      舉例：

iptables –t filter  -A INPUT  -p  tcp  --dport  22  -j DROPiptables –t filter  -A INPUT  -p  tcp  --dport  3306  -j DROPiptables –t filter  -I  INPUT  -p  tcp  --dport  80  -j DROPiptables -t filter -A INPUT -i eth0 ！-s 192.168.30.150 -j DROP

      查看防火墻規(guī)則：
      iptables -L -n
      清除防火墻
      --flush -F [chain] Delete all rules in chain or all chains
      清除用戶自定義的鏈
      -X [chain] Delete a user-defined chain
      創(chuàng)建一個(gè)新的自定義鏈
      --new -N chain Create a new user-defined chain
      把鏈中的計(jì)數(shù)器清零
      --zero -Z [chain [rulenum]] Zero counters in chain or all chains
      總結(jié)：
      iptables –F / /清除所有規(guī)則，不會(huì)處理默認(rèn)的規(guī)則
      iptables –X / /刪除用戶自定義的鏈
      iptables –Z / /鏈的計(jì)數(shù)器清零

      iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports] [-d ip/netword] [--dport ports] [-j ACCEPT DROP]
      以上是iptables的基本語(yǔ)法
      -A 是添加的意思
      -I 是插入的意思
      -i -o 指的是數(shù)據(jù)要進(jìn)入或出去所要經(jīng)過的網(wǎng)卡 如eth1 eth0等
      -p 你所要指定的協(xié)議，如tcp、udp、icmp、all
      -s 指源地址 可是單個(gè)IP如192.168.2.6 也可以是一個(gè)網(wǎng)絡(luò) 192.168.2.0/24 還可以 是一個(gè)域名 如163.com 如果你填寫的是域名，系統(tǒng)會(huì)自動(dòng)解析出他的IP并在iptables里 顯示
      --sport 來(lái)源端口
      -d 同-s相似 只不過他指的是目標(biāo)地址 也可以是IP 域名 和網(wǎng)絡(luò)
      --dport 目標(biāo)端口
      -j 執(zhí)行參數(shù) ACCEPT DROP

參數(shù)說(shuō)明

      禁止10.0.0.0網(wǎng)段連入：
      iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP
      -i：流量進(jìn)入的接口，從eth0進(jìn)入
      -s：源地址
      從eth0進(jìn)入的流量，源地址是10.0.0.0網(wǎng)段的地址，拒絕連接。

      源地址不是192.168.30.150的單個(gè)IP的禁止連接：
      iptables -t filter -A INPUT -i eth0 ！-s 192.168.30.150 -j DROP
      禁用icmp協(xié)議：
      iptables -t filter -A INPUT -p icmp --icmp-type 8 -i eth0 -s 192.168.30.0/24 -j DROP
      封掉3306端口：
      iptables –t filter -A INPUT -p tcp --dport 3306 -j DROP
      匹配指定協(xié)議以外的所有協(xié)議：
      iptables -A INPUT -p ! tcp iptables -A INPUT ! –p tcp –s 10.0.0.0/24 -j DROP
      匹配主機(jī)源IP
      iptables -A INPUT -s 10.0.0.14 iptable -A INPUT -s ! 10.0.0.13
      匹配網(wǎng)段
      iptables -A INPUT -s 10.0.0.0/24 iptables -A INPUT -s ! 10.0.0.0/24
      禁用dns：
      iptables -A INPUT -p tcp --sport 53 iptables -A INPUT -p udp --dport 53
      匹配指定端口之外的端口：
      iptables -A INPUT -p tcp --dport ! 22 iptables -I INPUT -p tcp ! --dport 22 -s 10.0.0.123 -j DROP
      匹配端口范圍
      iptables -A INPUT -p tcp --sport 22:80 iptables -I INPUT -p tcp -m multiport --dport 21,22,23,24 -j ACEEPT iptables -I INPUT -p tcp –dport 3306:8809 -j ACCEPT
      匹配icmp類型：
      iptables –A INPUT -p icmp --icmp-type 8 -j DROP iptables -A FORWARD -s 192.168.30.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT
      匹配指定的網(wǎng)絡(luò)接口：
      iptables -A INPUT -i eth0 iptables -A FORWARD -o eth0
      匹配網(wǎng)絡(luò)狀態(tài)
      -m state --state
      NEW:已經(jīng)或?qū)?dòng)新的連接
      ESTABLISHED：已建立的連接
      RELATED：正在啟動(dòng)新鏈接
      INVALID：非法或無(wú)法識(shí)別的
      允許關(guān)聯(lián)的狀態(tài)包通過
      iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      iptables -A OUTPUT -m state -state ESTABLISHED,RELATED -j ACCEPT

      -m limit --limit n/{second/minute/hour}:指定時(shí)間內(nèi)的請(qǐng)求速率'n'為速率，后面為時(shí)間分別為：秒、分、時(shí)
      --limit-burst [n]：在同一時(shí)間內(nèi)允許通過的請(qǐng)求'n'為數(shù)字,不指定默認(rèn)為5
      fg:本機(jī)地址：172.16.14.1，允許172.16.0.0/16網(wǎng)絡(luò)ping本機(jī)，但限制每分鐘請(qǐng)求不能超過20，每次并發(fā)不能超過6個(gè)
      iptables -A INPUT -s 172.16.0.0/16 -d 172.16.14.1 -p icmp --icmp-type 8 -m limit --limit 20/min --limit-burst 6 -j ACCEPT
      iptables -A OUTPUT -s 172.16.14.1 -d 172.16.0.0/16 -p icmp --icmp-type 0 -j ACCEPT

      指定TCP匹配擴(kuò)展
      使用 –tcp-flags 選項(xiàng)可以根據(jù)tcp包的標(biāo)志位進(jìn)行過濾。
      #iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN #iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK
      上實(shí)例中第一個(gè)表示SYN、ACK、FIN的標(biāo)志都檢查，但是只有SYN匹配。第二個(gè)表示ALL（SYN，ACK，F(xiàn)IN，RST，URG，PSH）的標(biāo)志都檢查，但是只有設(shè)置了SYN和ACK的匹配。
      #iptables -A FORWARD -p tcp --syn
      選項(xiàng)—syn相當(dāng)于”--tcp-flags SYN,RST,ACK SYN”的簡(jiǎn)寫。

NAT表：

      NAT我們一般用來(lái)做企業(yè)共享上網(wǎng)或外網(wǎng)端口映射。我們現(xiàn)在的筆記本和虛擬機(jī)都是192.168.30.0/24，就是出網(wǎng)的時(shí)候被我們企業(yè)路由器把源地址改成了公網(wǎng)地址了。
      那么Linux如何做共享上網(wǎng)的呢？比如一個(gè)內(nèi)網(wǎng)的10.1.1.11的pc訪問www.baidu.com的一個(gè)web服務(wù)器，linux的內(nèi)網(wǎng)接口10.1.1.1在收到這個(gè)包之后把原來(lái)的PC的 ip10.1.1.11改變?yōu)?0.1.1.1（我們公司的出網(wǎng)ip）的合法地址然后送出，同時(shí)在自己的ip_conntrack表里面做一個(gè)記錄,記住是內(nèi)網(wǎng)的哪一個(gè)ip的哪個(gè)端口訪問的這個(gè)web服務(wù)器，自己把它的源地址改成多少了，端口改成多少了，以便這個(gè)web服務(wù)器返回?cái)?shù)據(jù)包的時(shí)候linux將它準(zhǔn)確的送回給發(fā)送請(qǐng)求的這個(gè)pc
      設(shè)置共享上網(wǎng)有兩種方式：. 
      方法1：適合有固定上網(wǎng)地址的：
      iptables -t nat -A POSATROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-sorce 10.0.0.19
      (1)-s 192.168.1.0/24 辦公網(wǎng)或IDC內(nèi)網(wǎng)網(wǎng)段
      (2) -o eth0 為網(wǎng)關(guān)的外網(wǎng)卡接口
      (3) –j SNAT --to-sorce 10.0.0.19 是網(wǎng)關(guān)外網(wǎng)卡IP地址
      方法2：適合變化外網(wǎng)地址（ADSL）
      iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUEREDE（偽裝）
      注：MASQUEREDE動(dòng)態(tài)偽裝成出網(wǎng)ip。
      外部IP映射到內(nèi)部服務(wù)器IP（包括端口）：
      iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.8:9000

Icmp協(xié)議

      在iptables看來(lái)，只有四種ICMP分組，這些分組類型可以被歸為NEW、ESTABLISHED兩類： 
      ECHO請(qǐng)求(ping,8)和ECHO應(yīng)答(pong,0)。 
      時(shí)間戳請(qǐng)求(13)和應(yīng)答(14)。 
      信息請(qǐng)求(15)和應(yīng)答(16)。 
      地址掩碼請(qǐng)求(17)和應(yīng)答(18)。 
      這些ICMP分組類型中，請(qǐng)求分組屬于NEW，應(yīng)答分組屬于ESTABLISHED。而其它類型的ICMP分組不基于請(qǐng)求/應(yīng)答方式，一律被歸入RELATED。 
      我們先看一個(gè)簡(jiǎn)單的例子： 
      ``iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED, RELATED -j ACCEPT 
      iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT ```
      這鏈條規(guī)則進(jìn)行如下的過濾： 
      一個(gè)ICMP echo請(qǐng)求是一個(gè)NEW連接。因此，允許ICMP echo請(qǐng)求通過OUTPUT鏈。 
      當(dāng)對(duì)應(yīng)的應(yīng)答返回，此時(shí)連接的狀態(tài)是ESTABLISED，因此允許通過INPUT鏈。而INPUT鏈沒有NEW狀態(tài)，因此不允許echo請(qǐng)求通過INPUT鏈。也就是說(shuō)，這兩條規(guī)則允許內(nèi)部主機(jī)ping外部主機(jī)，而不允許外部主機(jī)ping內(nèi)部主機(jī)。 
      一個(gè)重定向ICMP(5)分組不是基于請(qǐng)求/應(yīng)答方式的，因此屬于RELATED。INPUT和OUTPUT鏈都允許RELATED狀態(tài)的連接，因此重定向(5)分組可以通過INPUT和OUTPUT鏈。 

TCP FLAG 標(biāo)記

      基于標(biāo)記的TCP包匹配經(jīng)常被用于過濾試圖打開新連接的TCP數(shù)據(jù)包。
TCP標(biāo)記和他們的意義如下所列

•       F : FIN - 結(jié)束; 結(jié)束會(huì)話

•       S : SYN - 同步; 表示開始會(huì)話請(qǐng)求

•       R : RST - 復(fù)位;中斷一個(gè)連接

•       P : PUSH - 推送; 數(shù)據(jù)包立即發(fā)送

•       A : ACK - 應(yīng)答

•       U : URG - 緊急

•       E : ECE - 顯式擁塞提醒回應(yīng)

•       W : CWR - 擁塞窗口減少
  示例
  三次握手Three-way Handshake
        一個(gè)虛擬連接的建立是通過三次握手來(lái)實(shí)現(xiàn)的

1.       (B) --> [SYN] --> (A)
         假如有服務(wù)器A、客戶機(jī)B. 當(dāng)B要和A通信時(shí)，B首先向A發(fā)一個(gè)SYN (Synchronize) 標(biāo)記的包，告訴A請(qǐng)求建立連接.
         注意: 一個(gè) SYN包就是僅SYN標(biāo)記設(shè)為1的TCP包(參見TCP包頭Resources). 只有當(dāng)A收到B發(fā)來(lái)的SYN包，才可建立連接，除此之外別無(wú)他法。

2.       (B) <-- [syn/ack]=""><>
         接著，A收到后會(huì)發(fā)一個(gè)對(duì)SYN包的確認(rèn)包(SYN/ACK)回去，表示對(duì)第一個(gè)SYN包的確認(rèn)，并繼續(xù)握手操作.
         注意: SYN/ACK包是僅SYN 和 ACK 標(biāo)記為1的包.

3.       (B) --> [ACK] --> (A)
         B收到SYN/ACK 包,B發(fā)一個(gè)確認(rèn)包(ACK)，通知A連接已建立。至此，三次握手完成，一個(gè)TCP連接完成。
         注意: ACK包就是僅ACK 標(biāo)記設(shè)為1的TCP包.
         特別注意：需要注意的是當(dāng)三此握手完成、連接建立以后，TCP連接的每個(gè)包都會(huì)設(shè)置ACK位
         PS：這就是為何連接跟蹤很重要的原因了. 沒有連接跟蹤,防火墻將無(wú)法判斷收到的ACK包是否屬于一個(gè)已經(jīng)建立的連接.一般的包過濾(Ipchains)收到ACK包時(shí),會(huì)讓它通過(這絕對(duì)不是個(gè)好主意). 而當(dāng)狀態(tài)型防火墻收到此種包時(shí)，它會(huì)先在連接表中查找是否屬于哪個(gè)已建連接，否則丟棄該包

      四次握手Four-way Handshake
      四次握手用來(lái)關(guān)閉已建立的TCP連接

1.       (B) --> ACK/FIN --> (A)

2.       (B) <-- ack=""><-->

3.       (B) <-- ack/fin=""><-->

4.       (B) --> ACK --> (A)

      注意: 由于TCP連接是雙向連接, 因此關(guān)閉連接需要在兩個(gè)方向上做。ACK/FIN 包(ACK 和FIN 標(biāo)記設(shè)為1)通常被認(rèn)為是FIN(終結(jié))包.然而, 由于連接還沒有關(guān)閉, FIN包總是打上ACK標(biāo)記. 沒有ACK標(biāo)記而僅有FIN標(biāo)記的包不是合法的包，并且通常被認(rèn)為是惡意的
連接復(fù)位Resetting a connection
      四次握手不是關(guān)閉TCP連接的唯一方法. 有時(shí),如果主機(jī)需要盡快關(guān)閉連接(或連接超時(shí),端口或主機(jī)不可達(dá)),RST (Reset)包將被發(fā)送. 注意在，由于RST包不是TCP連接中的必須部分, 可以只發(fā)送RST包(即不帶ACK標(biāo)記). 但在正常的TCP連接中RST包可以帶ACK確認(rèn)標(biāo)記。

      注意: RST包是可以不要收到方確認(rèn)的

      無(wú)效的TCP標(biāo)記Invalid TCP Flags
      到目前為止，你已經(jīng)看到了 SYN, ACK, FIN, 和RST 標(biāo)記. 另外，還有PSH (Push) 和URG (Urgent)標(biāo)記.
      最常見的非法組合是SYN/FIN 包. 注意:由于 SYN包是用來(lái)初始化連接的, 它不可能和 FIN和RST標(biāo)記一起出現(xiàn). 這也是一個(gè)惡意攻擊.
      由于現(xiàn)在大多數(shù)防火墻已知 SYN/FIN 包, 別的一些組合,例如SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明顯，當(dāng)網(wǎng)絡(luò)中出現(xiàn)這種包時(shí)，很你的網(wǎng)絡(luò)肯定受到攻擊了。
      別的已知的非法包有FIN (無(wú)ACK標(biāo)記)和'NULL'包。如同早先討論的，由于ACK/FIN包的出現(xiàn)是為了關(guān)閉一個(gè)TCP連接，那么正常的FIN包總是帶有 ACK 標(biāo)記。'NULL'包就是沒有任何TCP標(biāo)記的包(URG,ACK,PSH,RST,SYN,FIN都為0)。
      到目前為止，正常的網(wǎng)絡(luò)活動(dòng)下，TCP協(xié)議棧不可能產(chǎn)生帶有上面提到的任何一種標(biāo)記組合的TCP包。當(dāng)你發(fā)現(xiàn)這些不正常的包時(shí)，肯定有人對(duì)你的網(wǎng)絡(luò)不懷好意。

什么是狀態(tài)檢測(cè)

      每個(gè)網(wǎng)絡(luò)連接包括以下信息：源地址、目的地址、源端口和目的端口，叫作套接字對(duì)(socket pairs)；協(xié)議類型、連接狀態(tài)(TCP協(xié)議)和超時(shí)時(shí)間等。防火墻把這些信息叫作狀態(tài)(stateful)，能夠檢測(cè)每個(gè)連接狀態(tài)的防火墻叫作狀態(tài)包過濾防火墻。它除了能夠完成簡(jiǎn)單包過濾防火墻的包過濾工作外，還在自己的內(nèi)存中維護(hù)一個(gè)跟蹤連接狀態(tài)的表，比簡(jiǎn)單包過濾防火墻具有更大的安全性。 
      iptables中的狀態(tài)檢測(cè)功能是由state選項(xiàng)來(lái)實(shí)現(xiàn)的。
      --state state 
      這里，state是一個(gè)用逗號(hào)分割的列表，表示要匹配的連接狀態(tài)。有效的狀態(tài)選項(xiàng)包括：INVAILD，表示分組對(duì)應(yīng)的連接是未知的；
      ESTABLISHED，表示分組對(duì)應(yīng)的連接已經(jīng)進(jìn)行了雙向的分組傳輸，也就是說(shuō)連接已經(jīng)建立；NEW，表示這個(gè)分組需要發(fā)起一個(gè)連接，或者說(shuō)，分組對(duì)應(yīng)的連接在兩個(gè)方向上都沒有進(jìn)行過分組傳輸
      RELATED，表示分組要發(fā)起一個(gè)新的連接，但是這個(gè)連接和一個(gè)現(xiàn)有的連接有關(guān)，例如：FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關(guān)系。 

iptables的狀態(tài)檢測(cè)是如何工作的

      如果要在兩個(gè)網(wǎng)絡(luò)接口之間轉(zhuǎn)發(fā)一個(gè)分組，這個(gè)分組將以以下的順序接收規(guī)則鏈的檢查： 
      iptables的狀態(tài)檢測(cè)機(jī)制將重組分組，并且以以下某種方式跟蹤其狀態(tài)： 
      分組是否匹配狀態(tài)表中的一個(gè)已經(jīng)實(shí)現(xiàn)(ESTABLISHED)的連接。 
      這個(gè)分組是否要發(fā)起一個(gè)新(NEW)的連接。 
      如果分組和任何連接無(wú)關(guān)，就被認(rèn)為是無(wú)效(INVALID)的。

iptables 自定義鏈實(shí)例

      1、案例場(chǎng)景：將已建立連接和與一個(gè)現(xiàn)有連接有效的包放行。
      2、配置步驟：
      （1）創(chuàng)建自定義鏈block并添加規(guī)則：
      #iptables -N block
      #iptables -A block -m –state ESTABLISHED,RELATED -j ACCEPT
      （2）將流經(jīng)INPUT鏈的數(shù)據(jù)包跳轉(zhuǎn)到block鏈處理數(shù)據(jù)包：
      #iptables -A INPUT -j block
      通過-j去跳轉(zhuǎn)到自定義鏈，然后根據(jù)規(guī)則自上到下一條條執(zhí)行，執(zhí)行完畢后，回到原來(lái)執(zhí)行的語(yǔ)句。

自定義鏈