常用iptables配置指南

原创

nijianlong 2013-04-18 11:57:12 博主文章分类：Linux ©著作权

文章标签 iptables 文章分类 运维

©著作权归作者所有：来自51CTO博客作者nijianlong的原创作品，谢绝转载，否则将追究法律责任

前言：iptables设置请小心操作、防止端口与远程服务器连接

1、查看filter表

iptables -L -n --line-number

注：查看filter表

iptables -t nat -L

注：查看nat表设置情况

2、删除已有规则（慎用）

iptables -F

iptables --flush

3、开放本机lo环回口、建议开放、不开放出现莫名其妙问题

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

4、屏蔽指定IP

BLACK_THIS_IP="x.x.x.x"

iptables -A INPUT -i eth0 -p tcp -s "BLACK_THIS_IP="x.x.x.x" -j DROP

注：以上命令设置由BLACK_THIS_IP发往eth0网口tcp包丢弃

5、添加规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

//开放22号端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

//开放80端口

iptables -A INPUT -p icmp -j ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT

//允许icmp包通过

注：其他端口格式同上，依次添加

6、指定包匹配状态

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

//指定包为建立连接新连接、指定包输入已经建立的连接

注：连接状态4种

NEW：重新连接或连接重定向

RELATED：指定包为建立连接新连接

ESTABLISHED：指定包输入已经建立的连接

INVALID：改包不匹配任何连接、通常DROP

7、设置chain策略

filter table ，默认chain为ACCEPT

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

注：以上配置将接受、转发和发出包均丢弃，开启之后需配置INPUT,OUTPUT策略

8、iptables规则删除

iptables -D chain rulenum

注：chain即链，如INPUT、OUTPUT、FORWARD

rulenum即规则编号

9、iptables插入规则

iptables -I chain rulenum rule

注：-I插入

chain即链，如INPUT、OUTPUT、FORWARD

rulenum即规则编号

rule即追加规则

10、保存iptalbes规则

/etc/init.d/iptables save

11、重启iptables

/etc/init.d/iptables restart

注：建议远程调试iptables时，事先设置crontab定时关闭iptables，防止ssh端口断开。

上一篇：linux下yum源配置

下一篇：windows修改远程桌面端口号

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯