推荐配置
iptables -F #清空规则
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允许数据包响应
iptables -A INPUT -i lo -j ACCEPT #允许本地环回接口
iptables -I INPUT 3 -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #允许22号端口的访问
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited #INPUT上拒绝其他包
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited #FORWARD上拒绝其他包
service iptables save #保存 否则重启策略失效
策略调整
iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT #端口 插入到IINPUT的第三条
iptables -I INPUT 3 -s 192.168.1.0/32 -p tcp --dport 80 -j ACCEPT#应用IP+端口
iptables -I INPUT 3 -s 192.168.1.0/32 -p tcp -m multiport --dports 22:25,80 -j ACCEPT #IP + 多端口
service iptables save #一定要记得保存啊
策略管理
service iptables status/start #服务启动
chkconfig iptables on/off #开机启动
iptables --list/version #查看列表
lsof -i:3306 #查看端口是否开放
iptables -nvL --line-numbers #显示规则列表
iptables -D INPUT 3 #删除规则3
iptables-save > iptables.cfg #保存规则至指定文件
iptables-restore < iptables.cfg #从指定文件重载规则
系统默认规则
# Generated by iptables-save v1.4.7 on Thu Jun 6 16:03:44 2019
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16:2048]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jun 6 16:03:44 2019
