iptables防火墙相关

iptables 是从上向下执行的,一但符号规则则跳出

ACCEPT 让数据进来(允许)
DROP 丢弃数据包(拒绝)
REJECT 提示拒绝(不要告诉一声)

1.所有进来的数据,都不要
iptables -A INPUT -j DROP

-A 添加
-I 插入
-s 来源 -s 192.168.1.2
-j 规则 如 ACCEPT DROP等
-P 默认规则
-D 删除规则
-F 清除规则
--dport 目标端口[目标] 针对input  用它一个要用 -p
-p 协议 -p tcp
-i 数据包进入的网卡 eth0
-o 出去的网卡 eth1
--sport 端口[源]  针对output  用它一个要用 -p

清空规则
iptables -F
iptables -X
iptables -Z
执行这三个命令就彻底的清空了原有的规则

显示带行号规则
iptable -L -n --line-number

指定从那里过来的拒绝
iptables -A INPUT -s 192.168.1.2 -j DROP

设置默认规则
iptables -P INPUT DROP

删除一条规则
iptable -L --line-number
iptables -D INPUT 1

允许22端口访问

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

指定一个网卡允许访问[进入]
iptables -A INPUT -i eth0 -j ACCEPT

网络输出[output]拒绝
iptables -A OUTPUT -j DROP

从eth0出去的网卡拒绝
iptables -A OUTPUT -o eth0 -j DROP

设置从80端口出去的数据包,全部阻止

iptables -A OUTPUT --sport 80 -p tcp -j DROP

阻止任何客户端Ping我的服务器 ping的协议为 icmp
iptables -A INPUT -p icmp -j DROP

只允许192.168.1.22 来允许ping
iptables -I INPUT -p icmp -s 192.168.1.22 -j ACCEPT

保存iptables规则
方法一:services iptables save

方法二:iptables-save > /etc/sysconfig/iptables

允许samba服务
iptables -I INPUT -p tcp -m mulitport 138,139,145 -j ACCEPT

标准Web服务器防火墙设置

IPT="/sbin/iptables"
$IPT -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

$IPT -A INPUT -i lo -j ACCEPT # 本地回环网卡

$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT

$IPT -A INPUT -p tcp --dport 22 -j ACCEPT # ssh

$IPT -A OUTPUT -p tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p icmp -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT # 本地回环网卡

$IPT -A OUTPUT -p tcp --sport 22 -j ACCEPT # ssh

service iptables save
service iptables restart

chmod u+x iptables.sh 加入执行权限

执行 /root/iptables.sh

Iptables高级实例讲解

# 修改默认规则全为阻止
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

允许ssh连上
iptables -A INPUT -P tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

本地发送的udp数据包,放行 能允许ping
方法一:
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

方法二:

#如果进来[INPUT]和出去[OUTPUT]的状态是 确认状态,已经连接的状态
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

解决能上网无法Yum的问题 iptables

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

 

# 设定一段端口规则
iptables -A INPUT -p tcp --dport 60000:60010 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 60000:60010 -j ACCEPT