-A 添加规则
-I 插入规则
-s 来源IP
-D 删除规则
-P 设置默认规则
-n 查看详细信息(可以显示端口号)
--line-number 显示序号
-L 显示规则列表
-F 清除规则
-p 指定协议
--dport 指定目标端口,要与-p配合使用
--sport 指定源端口
(当INPUT时,服务端是目标,客户端是源,当OUTPUT时,服务端是源,客户端是目标)
-i 数据包进入的网卡
-o 数据包输出的网卡
iptables -A INPUT-j DROP #(A:append, j:规则)
iptables -A INPUT-s 192.168.31.111 -j REJECT #(-s:指定请求来源)
iptables -P INPUTACCEPT (-P:默认规则)
iptables -A INPUT-p tcp --dport 8080 -j ACCEPT #(通过tcp进来的访问8080端口的请求可以通过)
iptables –A INPUT –i eth0 –jDROP #(进入eth0网卡的数据都drop掉)
iptables –A INPUT –o eth0 –jDROP #(出去eth0网卡的数据都drop掉)
iptables –D OUTPUT1 #(删除OUTPUT规则的第一条)
service iptablessave #(改完之后执行,可以保存修改的规则)
文件存在/etc/sysconfig/iptables
iptables–save>/etc/sysconfig/iptables#(也可以这样保存,注意,没有空格)
[root@localhost cent]# iptables -A OUTPUT -p tcp --sport 8080 -j REJECT [root@localhost cent]# iptables -A OUTPUT -p tcp --sport 80 -j REJECT [root@localhost cent]# iptables -A INPUT -p icmp -j DROP |
[root@localhost cent]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination REJECT all -- 192.168.31.111 0.0.0.0/0 reject-with icmp-port-unreachable #(阻止ping) DROP icmp -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8080 reject-with icmp-port-unreachable REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 reject-with icmp-port-unreachable |
设置防火墙脚本 |
IPT="/sbin/iptables" $IPT -F $IPT -P INPUT DROP $IPT -P OUTPUT DROP
#回环网卡通行 $IPT -A INPUT -i lo -j ACCEPT #可以ping $IPT -A INPUT -p icmp -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -p icmp -j ACCEPT $IPT -A OUTPUT -p tcp --sport 80 -j ACCEPT $IPT -A OUTPUT -p tcp --sport 22 -j ACCEPT |
[root@localhost cent]# iptables-save>/etc/sysconfig/iptables [root@localhost cent]# service iptables restart iptables:将链设置为政策 ACCEPT:filter [确定] iptables:清除防火墙规则: [确定] iptables:正在卸载模块: [确定] iptables:应用防火墙规则: [确定]
|