iptables 是从上向下执行的,一但符号规则则跳出
ACCEPT 让数据进来(允许)
DROP 丢弃数据包(拒绝)
REJECT 提示拒绝(不要告诉一声)
1.所有进来的数据,都不要
iptables -A INPUT -j DROP
-A 添加
-I 插入
-s 来源 -s 192.168.1.2
-j 规则 如 ACCEPT DROP等
-P 默认规则
-D 删除规则
-F 清除规则
--dport 目标端口[目标] 针对input 用它一个要用 -p
-p 协议 -p tcp
-i 数据包进入的网卡 eth0
-o 出去的网卡 eth1
--sport 端口[源] 针对output 用它一个要用 -p
清空规则
iptables -F
iptables -X
iptables -Z
执行这三个命令就彻底的清空了原有的规则
显示带行号规则
iptable -L -n --line-number
指定从那里过来的拒绝
iptables -A INPUT -s 192.168.1.2 -j DROP
设置默认规则
iptables -P INPUT DROP
删除一条规则
iptable -L --line-number
iptables -D INPUT 1
允许22端口访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
指定一个网卡允许访问[进入]
iptables -A INPUT -i eth0 -j ACCEPT
网络输出[output]拒绝
iptables -A OUTPUT -j DROP
从eth0出去的网卡拒绝
iptables -A OUTPUT -o eth0 -j DROP
设置从80端口出去的数据包,全部阻止
iptables -A OUTPUT --sport 80 -p tcp -j DROP
阻止任何客户端Ping我的服务器 ping的协议为 icmp
iptables -A INPUT -p icmp -j DROP
只允许192.168.1.22 来允许ping
iptables -I INPUT -p icmp -s 192.168.1.22 -j ACCEPT
保存iptables规则
方法一:services iptables save
方法二:iptables-save > /etc/sysconfig/iptables
允许samba服务
iptables -I INPUT -p tcp -m mulitport 138,139,145 -j ACCEPT
标准Web服务器防火墙设置
IPT="/sbin/iptables"
$IPT -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -A INPUT -i lo -j ACCEPT # 本地回环网卡
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
$IPT -A OUTPUT -p tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p icmp -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT # 本地回环网卡
$IPT -A OUTPUT -p tcp --sport 22 -j ACCEPT # ssh
service iptables save
service iptables restart
chmod u+x iptables.sh 加入执行权限
执行 /root/iptables.sh
Iptables高级实例讲解
# 修改默认规则全为阻止
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
允许ssh连上
iptables -A INPUT -P tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
本地发送的udp数据包,放行 能允许ping
方法一:
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
方法二:
#如果进来[INPUT]和出去[OUTPUT]的状态是 确认状态,已经连接的状态
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
解决能上网无法Yum的问题 iptables
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
# 设定一段端口规则
iptables -A INPUT -p tcp --dport 60000:60010 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 60000:60010 -j ACCEPT