-A 添加規則
-I 插入規則
-s 來源IP
-D 刪除規則
-P 設置默認規則
-n 查看詳細信息(可以顯示端口號)
--line-number 顯示序號
-L 顯示規則列表
-F 清除規則
-p 指定協議
--dport 指定目標端口,要與-p配合使用
--sport 指定源端口
(當INPUT時,服務端是目標,客戶端是源,當OUTPUT時,服務端是源,客戶端是目標)
-i 數據包進入的網卡
-o 數據包輸出的網卡
iptables -A INPUT-j DROP #(A:append, j:規則)
iptables -A INPUT-s 192.168.31.111 -j REJECT #(-s:指定請求來源)
iptables -P INPUTACCEPT (-P:默認規則)
iptables -A INPUT-p tcp --dport 8080 -j ACCEPT #(通過tcp進來的訪問8080端口的請求可以通過)
iptables –A INPUT –i eth0 –jDROP #(進入eth0網卡的數據都drop掉)
iptables –A INPUT –o eth0 –jDROP #(出去eth0網卡的數據都drop掉)
iptables –D OUTPUT1 #(刪除OUTPUT規則的第一條)
service iptablessave #(改完之後執行,可以保存修改的規則)
文件存在/etc/sysconfig/iptables
iptables–save>/etc/sysconfig/iptables#(也可以這樣保存,注意,沒有空格)
[root@localhost cent]# iptables -A OUTPUT -p tcp --sport 8080 -j REJECT [root@localhost cent]# iptables -A OUTPUT -p tcp --sport 80 -j REJECT [root@localhost cent]# iptables -A INPUT -p icmp -j DROP |
[root@localhost cent]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination REJECT all -- 192.168.31.111 0.0.0.0/0 reject-with icmp-port-unreachable #(阻止ping) DROP icmp -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8080 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 reject-with icmp-port-unreachable |
設置防火牆腳本 |
IPT="/sbin/iptables" $IPT -F $IPT -P INPUT DROP $IPT -P OUTPUT DROP
#迴環網卡通行 $IPT -A INPUT -i lo -j ACCEPT #可以ping $IPT -A INPUT -p icmp -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -p icmp -j ACCEPT $IPT -A OUTPUT -p tcp --sport 80 -j ACCEPT $IPT -A OUTPUT -p tcp --sport 22 -j ACCEPT |
[root@localhost cent]# iptables-save>/etc/sysconfig/iptables [root@localhost cent]# service iptables restart iptables:將鏈設置爲政策 ACCEPT:filter [確定] iptables:清除防火牆規則: [確定] iptables:正在卸載模塊: [確定] iptables:應用防火牆規則: [確定]
|