注意:
1.在操作前请确保iptables表里有允许ssh的通信端口的规则:
如果没有,请先加入规则:
$iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT && service iptables save
2.本文全都只针对iptables里的INPUT表进行操作,同样可以应用到FORWARD表和OUTPUT表,一般只操作INPUT表即可
一.使用命令行操作,操作完成后保存才生效 $service iptables save
插入到第一:
$iptables -I INPUT -p tcp --dport 3306 -j ACCEPT //
追加到最后:
$iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
替换:
$iptables -R INPUT 5 -p tcp --dport 3306 -j ACCEPT //5是显示iptables时列出的序号
显示:
$iptables -L -nv --line-number
删除:
$iptables -D INPUT 27 //INPUT也有可能是OUTPUT,27是显示iptables时列出的序号
默认拒绝所有输入,只有符合自定义的规则才能通过
$iptables -P INPUT DROP
请注意这条语句的参数,是-P ,-P的作用是定义链的默认规则,也就是通过所有规则后还没有匹配到的数据包,将按照默认规则来执行。-P DROP后,只有满足定义了ACCEPT规则的包才能通行,其他的包都按照默认的DROP干掉了。二.使用编辑文件的方式操作,操作完成后重启才能生效 $service iptables restart
$vi /etc/sysconfig/iptables
##########################################################start
*filter
#以下三句意思是入站\出站\防火墙默认全给通过(ACCEPT)
:INPUT ACCEPT [4:561]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29:4053]
#以下规则跟用命令定义的方式一样,只是前面少了一个iptables
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
##########################################################end
三.真正让自己定义的规则生效(两种方式,二选一)
1.方式一:自定义规则后,默认拒绝所有进入包
$iptables -P INPUT DROP
1.1.如下图中的自定义规则是不会生效的
1.2.设置后才会生效
2.方式二:自定义规则后,在规则表最后追加“拒绝其它包”的规则,这个规则之后的规则都没用了,所以这个规则一定放到最后面。
$iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
2.1.如下图中的自定义规则是不会生效的
2.2.设置后才会生效
四.设置样例,开放80和3306端口
4.1.假设现在已设置了22端口,但未生效,其它端口都是开放的
4.2.使用默认拒绝全部INPUT包的方式来让其生效
$iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
$iptables -A INPUT -p tcp --dport 80 -j ACCEPT
$iptables -P INPUT DROP && service iptables save
参考来源:
http://blog.chinaunix.net/uid-26495963-id-3279216.html
http://blog.sina.com.cn/s/blog_6390cb4c0101p96h.html
http://www.cnblogs.com/alimac/p/5848372.html
扫一扫
86
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
