经常使用iptables配置指南

 前言：iptables设置请当心操做、防止端口与远程服务器链接

一、查看filter表

iptables -L -n --line-number

注：查看filter表

iptables -t nat -L

注：查看nat表设置状况

二、删除已有规则（慎用）

iptables -F

iptables --flush

三、开放本机lo环回口、建议开放、不开放出现莫名其妙问题

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

四、屏蔽指定IP

BLACK_THIS_IP="x.x.x.x"

iptables -A INPUT -i eth0 -p tcp -s "BLACK_THIS_IP="x.x.x.x" -j DROP

注：以上命令设置由BLACK_THIS_IP发往eth0网口tcp包丢弃

五、添加规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

//开放22号端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

//开放80端口

iptables -A INPUT -p icmp -j ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT

//容许icmp包经过

注：其余端口格式同上，依次添加

六、指定包匹配状态

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

//指定包为创建链接新链接、指定包输入已经创建的链接

注：链接状态4种

NEW：从新链接或链接重定向

RELATED：指定包为创建链接新链接

ESTABLISHED：指定包输入已经创建的链接

INVALID：改包不匹配任何链接、一般DROP

七、设置chain策略

filter table ，默认chain为ACCEPT

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

注：以上配置将接受、转发和发出包均丢弃，开启以后需配置INPUT,OUTPUT策略

八、iptables规则删除

iptables -D chain rulenum

注：chain即链，如INPUT、OUTPUT、FORWARD

rulenum即规则编号

九、iptables插入规则

iptables -I chain rulenum rule

注：-I插入

chain即链，如INPUT、OUTPUT、FORWARD

rulenum即规则编号

rule即追加规则

十、保存iptalbes规则

/etc/init.d/iptables save

十一、重启iptables

/etc/init.d/iptables restart

注：建议远程调试iptables时，事先设置crontab定时关闭iptables，防止ssh端口断开。