關於iptables的幾個可能碰見的問題。

其實還是蠻簡單的。但是總想不起來。、
可能因爲太複雜吧。。
舉個例子吧 把80端口轉到8080上
iptables -t nat -A PREROUTING -p tcp --dprot 80 -j REDIRECT --to-ports 8080
如果你想檢查這個命令的時候 你用iptables -L 是看不出來的。  
用iptables -F 也不會被清除
想看這個命令的狀態 就打
iptables -t nat -vnL
[root@localhost bin]# iptables  -t nat -vnLChain PREROUTING (policy ACCEPT 125 packets, 16254 bytes) pkts bytes target     prot opt in     out     source               destination             3   156 REDIRECT   tcp  –  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8097 redir ports 8086 
Chain POSTROUTING (policy ACCEPT 113 packets, 10332 bytes) pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 113 packets, 10332 bytes) pkts bytes target     prot opt in     out     source               destination         
這樣的話 這個命令就出來了。如果想刪除這條命令就iptables -t nat -D PREROUTING -p tcp --dprot 80 -j REDIRECT --to-ports 8080 ------------------下一個案例
iptables開放22、80端口，以及允許本機訪問本機所有端口協議
iptables -F /* 清除所有規則 / iptables -A INPUT -p tcp --dport 22 -j ACCEPT /允許包從22端口進入/ iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /允許從22端口進入的包返回/ iptables -A OUTPUT -p udp --dport 53 -j ACCEPT / 域名解析端口，一般不開 / iptables -A INPUT -p udp --sport 53 -j ACCEPT / 域名解析端口，一般不開 / iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /允許本機訪問本機/ iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /允許所有IP訪問80端口/ iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables-save > /etc/sysconfig/iptables /保存配置/ iptables -L / 顯示iptables列表 */ iptables -A INPUT -p tcp -s 192.168.0.1 -j ACCEPTiptables -A OUTPUT -p tcp -d 192.168.0.1 -j ACCEPT

---

iptables  禁pingecho “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
這下是別人不能ping你，你也不能ping別人
將其值改爲1後爲禁止PING
將其值改爲0後爲解除禁止PING
其實使用iptable最簡單
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1 -j DROPiptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.29.1 -j ACCEPT

如何讓別人ping不到自己，而自己又能ping別人,問題其實很簡單，用如下腳本#/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sport 80,22 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT