1. ############ IPtables 可用操作 
  2. (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 
  3.  
  4. (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP 
  5.  
  6. (3)-D : 从所选链中删除策略,可以通过将策略的内容完整的写出来或指定在所愿链中的序号 
  7.         # iptables -D INPUT 1  
  8.  
  9. (4)-R:替换所选中的链里指定的策略:# iptables -R INPUT 1 -s 192.168.30.0 -j DROP(替换第一条) 
  10.  
  11. (5)-I: 从所选的链中指定策略前面插入一条新的策略 # iptables -I INPUT 2 -s 192.168.10.2 -j DROP 
  12.  
  13. (6)-F:清空所选链的策略,如果没有指定链,则清空指定表的所有链:# iptables -F INPUT (清空INPUT链) 
  14.  
  15. (7)-Z:将所选链的所有计数器归零,如果没有指定链,则将指定表所有链中计数器归零:# iptables -Z INPUT 
  16.  
  17. (8)-N:根据用户指定的名字建立新的链,在定义新链时所使用的名字不能和已有的链同名,数据包如果在自 
  18.         定义链里被匹配了就会被target/jump执行,如果没有被匹配则数据包将被送回调用自定义链的父链 
  19.         匹配 
  20.         # iptables -N isok 
  21.         # iptables -A isok -p tcp -s 192.168.0.168 -j DROP 
  22.         # iptables -L -n 
  23. Chain INPUT (policy ACCEPT) 
  24. target     prot opt source               destination          
  25. DROP       tcp  --  172.28.10.0          0.0.0.0/0           tcp dpt:80  
  26.  
  27. Chain FORWARD (policy ACCEPT) 
  28. target     prot opt source               destination          
  29.  
  30. Chain OUTPUT (policy ACCEPT) 
  31. target     prot opt source               destination          
  32.  
  33. Chain isok (0 references) 
  34. target     prot opt source               destination          
  35. DROP       tcp  --  192.168.0.168        0.0.0.0/0 
  36.  
  37. (9)-X:删除指定的用户自定义的链。在删除这个链必须没有被引用,如果没有指定链名称,则删除所有 
  38.         自定义的链,如果没有指定表及链则删除默认表中左右自定义的链 
  39.         # iptables -X isok            ( iptables -X) 
  40.          
  41. (10)-E:对自定义的链进行重命名,该命令仅仅是改变自定义链的名字,对这个结构、工作没有任何影响 
  42.         # iptables -E isok isallow 
  43.          
  44. (11)-P:为链设置默认的策略(如ACCEPT、DROP),所有不符合策略的数据包都被强制使用这个策略 
  45.         # iptables -P INPUT DROP 
  46.          
  47. (12)--line-number:在显示策略时,输入序号,该参数只能和-L配合使用 
  48.     # iptables -L --line-number 
  49.      
  50. (13)-s:匹配指定的IP源地址匹配数据包,指定网段为:# iptables -A INPUT -s 192.168.1.0/24 -j DROP 
  51.  
  52. (14)-d:匹配指定的IP目标地址匹配数据包,指定网段:# iptables -A INPUT -d 192.168.1.0/24 -j DROP 
  53.  
  54. (15)-i:<网络接口>:以数据包进入本地所使用的网络接口来匹配数据包,这个匹配操作只能用于 
  55.         INPUT、FORWARD和PREROUTING这3个链 
  56.         1、指定时使用网络接口名称,比如eth0、ppp0 
  57.         2、使用加号作为通配符时,如果直接用一个加号,比如iptables -A INPUT -i +表示匹配所有的包, 
  58.             而不考虑使用哪个接口,这也是用-i参数的默认行为。通配符还可以使放在某一类接口的后面, 
  59.             比如eth+表示所有的Ethernet接口 
  60.         3、在接口前加感叹号表示取反(注意空格),比如“-i!eth0”意思是匹配来自除eth0外的所有包 
  61.         4、lo表示本地回环地址 
  62.         # iptables -A INPUT -i eth0 -s 192.168.0.99 -j DROP(阻止从eth0进入的源IP地址为192.168.0.99的所有通信) 
  63.          
  64. (16)-o:<网络接口>:以数据包离开本地所使用的网络接口来匹配数据包,该参数配置方法与-i参数相同 
  65.         # iptables -A OUTPUT -o eth0 -s 192.168.0.99 -j DROP 
  66.      
  67. (17)--sport<端口>:基于数据包的源端口来匹配数据包: 
  68.                     1、该参数必须与-p参数配合使用 
  69.                     2、不指定--sport参数时,表示所有端口 
  70.                     3、可以使用连续的端口,比如“--sport 1000:1024"表示从1000到1024的所有端口 
  71.                         (包括1000、1024),”--sport 1024:1000“和”--sport 1000:1024“的效果相同 
  72.                     4、当省略第一个冒号时,默认从端口0开始,比如”--sport:1000"表示从0到1000的所有端口 
  73.                     5、当省略第二个冒号时,默认是65535,比如“--sport 1000:"表示从1000到65535的所有端口 
  74.                     6、在端口号前加感叹号表示取反(在感叹号与端口号之间必须有空格),比如”--sport!1000" 
  75.                         表示除1000号外的所有端口,“--sport ! 1000:1024"表示从1000到1024的所哟偶端口(包括1000、1024)之外的所有端口 
  76.                     # iptables -A INPUT -p tcp --sport 1000 -j DROP(阻止源端口为1000的所有tcp通信) 
  77.                     # iptables -A INPUT -p tcp --sport 1000:1024 -j DROP(阻止源端口大于等于1000且小于等于1024的所有tcp通信) 
  78.                      
  79. (18)--dport:基于数据包的目的端口来匹配包,该参数配置方法与--sport参数相同 
  80.             # iptables -A INPUT -p tcp --dport 1000 -j DROP (阻止目标端口为1000的所有tcp通信) 
  81.             # iptables -A INPUT -p tcp --dport 1000:1024 -j DROP (阻止目标端口大于等于1000且小于等于1024的所有tcp通信) 
  82.                      
  83. (19)-m multiport --sport<端口>:源端口多端口匹配,最多可以使用15个端口,使用逗号分隔,该参数必须与 
  84.                             -p参数配合使用 
  85.         # iptables -A INPUT -p tcp -m multiport --sport 1000,1024,1025 -j DROP (阻止源端口为1000,1024,1025的所有tcp通信) 
  86.          
  87. (20)-m multiport --dport<端口>:目的端口多端口匹配,最多可以使用15个端口,以逗号隔开,该参数 
  88.                                 必须与-p参数配合使用 
  89.         # iptables -A INPUT -p tcp -m multiport --dport 1000,1024 -j DROP(阻止目的端口为1000,1024的所有tcp通信) 
  90.          
  91. (21)-m multiport --port<端口>:同端口多端口匹配,通端口是指源端口和目的端口使用相同端口的数据包 
  92.  
  93. (22)--tcp-flags<检查标记列表><条件列表>:匹配指定的tcp标记,有两个参数,它们都是列表,列表内部用 
  94.                                 英文的都好作为分隔符,这两个列表之间用空格分开,第一个参数指定需要 
  95.                                 检查的tcp标记,第二个参数指定”在第一个列表中出现过的且必须被设为1 
  96.                                 (即状态是打开的)的“标记(第一个列表中其他的标记必须设置0),也就是说 
  97.                                 第一个参数提供检查范围,第二个参数提供被设置的调价(就是哪些位置1). 
  98.                                 这个匹配操作可以识别SYN、ACK、FIN、RST、URG、PSH标记另外还可以使用 
  99.                                 ALL、NONE。ALL是指选定所有的标记,NONE是指未选定任何标记,也可以在参数钱使用感叹号取反 
  100.                                 # iptables -p tcp --tcp-flags SYN,ACK,FIN SYN -j DROP(阻止SYN标记被设置而FIN和ACK标记没有被设置的所有tcp通信) 
  101.                                 # iptables -p tcp --tcp-flags ALL NONE -j DROP (阻止所有标记没有被设置为1的所有tcp通信) 
  102.                                 # iptables -p tcp --tcp-flags ! SYN,FIN,ACK SYN -j DROP (阻止FIN、ACK被设置为而SYN没有被设置的所有tcp通信) 
  103.                          
  104. (23)--syn:匹配SYN标记被设置而ACK和RST标记没有设置的数据包(该参数与”iptables -p tcp --tcp-flags SYN,ACK,RST SYN" 有相同的效果) 
  105.  
  106. (24)--icmp-type<类型数值>:根据ICMP类型匹配包,类型的指定可以使用十进制数值 
  107.                 # iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
  108.                 # iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT 
  109.                  
  110.                 # iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 
  111.                 # iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT 
  112.  
  113. (25)--mac-source<MAC地址>:基于数据包的源MAC地址匹配数据包,只能在PREROUTING,FORWARD,INPUT链中使用 
  114.                         # iptables -A INPUT -m mac --mac-source 00:50:56:C0:00:01 -j DROP 
  115.                          
  116. (26)--uid-owner<UID>:按生成包的用户ID(UID)来匹配数据包,如例阻止所有UID为555的用户向外的所有通信 
  117.                         # iptables -A OUTPUT -m owner --uid-owner 555 -j DROP 
  118.                          
  119. (27)--gid-owner<GID>:按生成包的用户所在的组的ID(GID)来匹配数据包 
  120.                         # iptables -A OUTPUT -m owner --gid-owner 555 -j DROP 
  121.  
  122. (28)--sid-owner<SID>;按生成数据包的会话ID(SID)来匹配外出数据包(一个进程以及它的子进程或他的多个线程都有同一个SID) 
  123.                         # iptables -A OUTPUT -m owner --sid-owner 178 -j DROP 
  124.                          
  125. (29)--state<状态列表>:匹配数据包的状态,多个状态使用逗号分隔,例子将允许连接本机的FTP服务器 
  126.                         # iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
  127.                         # iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
  128.                         # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
  129.                     例:# iptables -A INPUT -p tcp -m state --state NEW --dport 80 -j ACCEPT   
  130.          
  131. (30)DNAT:用于进行目标网络地址转换,就是重写数据包的目标IP地址,如果一个数据包被匹配,那么 
  132.             和他属于同一个流的所有的包都会被自动的转换,然后就可以被路由到正确的主机或网络 
  133.     DNAT在实际工作中非常有用,比如一台Web服务器位于局域网,而且没有可在Internet上使用的真实 
  134.      IP地址,这时就可以使用DNAT让防火墙把所有到它自己HTTP端口的包转发给局域网内部真正的Web服务器 
  135.      ,目的地址也可以是一个范围,这样DNAT会为每一个流随机分配一个IP地址,DNAT只能在nat表的 
  136.      PREROUTING,OUTPUT链中使用,或是被这两条链调用的链中,DNAT需要使用--to-dest参数指定写入 
  137.      IP包头的地址(也就是数据包要被转发到的地方);   还可以再地址后指定一个活一个范围的端口,如 --to-dest 192.168.1.10:80或192.168.1.10:80-100 
  138.       
  139. # iptables -t nat -A PREROUTING -p tcp -d 202.13.0.2 --dport 80 -j DNAT --to-dest 192.168.0.1-192.168.0.10  
  140.  
  141.  (意思是说外面要访问内部的web服务器,需要经过202.13.0.2:80端口来访问,经过这个ip时需要进行目标网络地址转换, 
  142.     每个数据流被随机分配一个要转发到的地址,但同一个数据流总是使用同一个地址,也可以只指定一个IP地址作为参数) 
  143.      
  144. (31)SNAT:用于进行源网络地址转换,就是重写数据包的源IP地址,SNAT需要使用--to-source参数指定写入IP包头的地址, 
  145.         SNAT的其他语法与DNAT相同,SNAT只能有nat表的POSTROUTING链使用 
  146.          
  147.     # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 202.103.0.2 
  148.      
  149.     (意思为当内网的ip:192.168.0.0/24网段要访问外网时需要将这些内网ip伪装成公网ip才可以访问到外部) 
  150.      
  151. (32)MASQUERADE:该目标与SNAT作用相同,只是使用该目标时不需要指明--to-source。MASQUERADE是专门设计用于那些动态 
  152.                 获取IP地址的连接(比如拨号上网等),如果有固定的IP地址,可推荐直接使用SNAT(也可以使用MASQUERADE) 
  153.                 和SNAT一样,只能用于nat表的POSTROUTING链,而且它只有一个参数(不是必需的)--to-ports用于指定端口, 
  154.                 使用该参数时必需配合-p使用 
  155.             # iptables -t nat -A POSTROUTING -p tcp -j MASQUERADE --to-ports 1024-5000   
  156.             # iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -j MASQUERADE 
  157.              
  158. (33)REDIRECT:在防火墙所在的主机内部转发数据包或流到另外一个端口(比如把所有去往端口HTTP的包REDIRECT到HTTP代理 
  159.               ,当然这都发生在主机内部,本地生成的数据包都会被映射到127.0.0.1,换句话说这个目标把要转发的数据包 
  160.               的目的地址改写为本机主机的IP,在实现透明代理时就需要使用该目标(局域网内的主机不需要知道代理服务器的存在 
  161.               就可以正常上网被称为透明代理)。该目标只能用在nat表的PREROUTING、OUTPUT链和被它们调用的自定义链REDIRECT 
  162.               只有一个选项--to-ports用于指定端口(可以使用--to-ports 8080-8888的方式指定一个端口范围)。 
  163.               举个例子:将本机tcp的80端口收到的数据包转发到本机的8080端口 
  164.             # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 
  165.          
  166. (34)REJECT:REJECT和DROP作用相同,区别在于它除了阻止数据包之外,还向发送者返回错误信息,该目标只用用在INPUT、 
  167.             FORWARD,OUTPUT和它们的子链,而且包含REJECT的链也只能被它们调用,否则不能发挥作用,它只有一个选项 
  168.             --reject-with用于控制返回的错误信息的类型 
  169.         # iptables -A FORWARD -p tcp --dport 22 -j REJECT --reject-with tcp-reset    
  170.          
  171. ##################### IPTables 策略配置方法 ######################### 
  172.  
  173. (1)使用命令:在使用命令修改了策略后,需要使用如下命令让策略永久生效   # service iptables save    
  174.  
  175. (2)使用脚本:另外一个方法让策略永久生效的,编写一个脚本将所有的策略放入脚本然后每次开机自动运行该脚本(/etc/rc.locl) 
  176.     #!/bin/sh 
  177.     # 清除filter、nat表的所有侧率及计数器 
  178.     iptables -t filter -F 
  179.     iptables -t filter -Z 
  180.     iptables -t filter -X 
  181.     iptables -t nat -F 
  182.     iptables -t nat -Z 
  183.     iptables -t nat -X 
  184.     #定义filter、nat表默认策略 
  185.     iptables -t filter -P INPUT DROP 
  186.     iptables -t filter -p OUTPUT DROP 
  187.     iptables -t filter -P FORWARD ACCEPT 
  188.     iptables -t nat -P OUTPUT ACCEPT 
  189.     iptables -t nat -P PREROUTING ACCEPT 
  190.     iptables -t nat -P POSTROUTING ACCEPT 
  191.     #允许IP转发 
  192.     /bin/echo "1" >/pro/sys/net/ipv4/ip_forward 
  193.     #载入内核模块 
  194.     modprode ip_conntrack-ftp 
  195.     modprode ip_nat_ftp 
  196.     #允许本机的所有通信 
  197.     iptables -t filter -A INPUT -i lo -j ACCEPT 
  198.     iptables -t filter -A OUTPUT -o lo -j ACCEPT 
  199.     #运行ping 
  200.     iptables -t filter -A INPUT -m icmp --icmp-type 8 -j ACCEPT 
  201.     iptables -t filter -A OUTPUT -m icmp --icmp-type 0 -j ACCEPT 
  202.     iptables -t filter -A INPUT -m icmp --icmp-type 0 -j ACCEPT 
  203.     iptables -t filter -A OUTPUT -m icmp --icmp-type 8 -j ACCEPT 
  204.     #允许查询本机的DNS服务 
  205.     iptables -t filter -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT 
  206.     iptables -t filter -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT 
  207.     #允许访问本机的FTP服务 
  208.     iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT 
  209.     iptables -t filter -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
  210.     iptables -t filter -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
  211.  
  212. #################################### 常见服务策略配置 ########################################## 
  213. 下面是iptables中通过策略允许常见服务通信的例子,除特殊说明外都架设服务于防火墙在同一主机且filter表INPUT及OUTPUT链默认策略时DROP,如果将IPtables做为 
  214. 网关或其他情况可根据实现情况选择不同的表(下列策略都假设服务使用默认端口) 
  215.  
  216. (1)NTP服务 
  217. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 123 -j ACCEPT 
  218. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 37 -j ACCEPT 
  219.  
  220. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 123 -j ACCEPT 
  221. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 37 -j ACCEPT 
  222.  
  223. (2)FTP服务 
  224. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT 
  225. # iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
  226.  
  227. # iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
  228. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 21 -j ACCEPT 
  229.  
  230. (3)DHCP服务 
  231. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 67 -j ACCEPT 
  232. # iptables -A INPUT -p udp -s 192.168.0.0/24 --sport 68 -j ACCEPT 
  233.  
  234. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --dport 67 -j ACCEPT 
  235. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 68 -j ACCEPT 
  236.  
  237. (4)DNS服务 
  238. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT 
  239. # iptables -A INPUT -p udp -s 192.168.0.0/24 --sport 53 -j ACCEPT 
  240.  
  241. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --dport 53 -j ACCEPT 
  242. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 53 -j ACCEPT 
  243.  
  244. (5)Samba服务 
  245. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 137:139 -j ACCEPT 
  246. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 137:139 -j ACCEPT 
  247. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 445 -j ACCEPT 
  248. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 445 -j ACCEPT 
  249.  
  250. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 137:139 -j ACCEPT 
  251. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 137:139 -j ACCEPT 
  252. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 445 -j ACCEPT 
  253. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 445 -j ACCEPT 
  254.  
  255. (6)NFS 服务 
  256. 1、在使用iptables允许NFS服务时需要修改/etc/sysconfig/nfs文件的下列参数,是NFS使用固定端口 
  257. LOCKD_TCPPORT=4001 
  258. LOCKD_UDPPORT=4001 
  259. LOCKD_PORT=4002 
  260. STATD_PORT=4000 
  261. STATD_OUTGOING_PORT=4003 
  262. 2、配置iptables策略 
  263. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 4000:4003 -j ACCEPT 
  264. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 4000:4003 -j ACCEPT 
  265. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 2049 -j ACCEPT 
  266. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 2049 -j ACCEPT 
  267. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 111 -j ACCEPT 
  268. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT 
  269.  
  270. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 4000:4003 -j ACCEPT 
  271. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 4000:4003 -j ACCEPT 
  272. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 2049 -j ACCEPT 
  273. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 2049 -j ACCEPT 
  274. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 111 -j ACCEPT 
  275. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 111 -j ACCEPT 
  276.  
  277. (7)日志服务 
  278. # iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 514 -j ACCEPT 
  279. # iptables -A OUTPUT -p udp -d 192.168.0.0/24 --sport 514 -j ACCEPT 
  280.  
  281. (8)HTTP/HTTPS服务 
  282. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT 
  283. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 443 -j ACCEPT 
  284.  
  285. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 80 -j ACCEPT 
  286. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 443 -j ACCEPT 
  287.  
  288. (8)WebDav服务 
  289. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 9800 -j ACCEPT 
  290. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 9802 -j ACCEPT 
  291.  
  292. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 9800 -j ACCEPT 
  293. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 9802 -j ACCEPT 
  294.  
  295. (9)SMTP服务 
  296. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT 
  297.  
  298. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 25 -j ACCEPT 
  299.  
  300. (10)POP3/POP3s服务 
  301. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT 
  302. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 995 -j ACCEPt 
  303.  
  304. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 110 -j ACCEPT 
  305. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 995 -j ACCEPT 
  306.  
  307. (11)IMAP/IMAPs服务 
  308. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 143 -j ACCEPT 
  309. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 993 -j ACCEPT 
  310.  
  311. # iptalbes -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 143 -j ACCEPT 
  312. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 993 -j ACCEPT 
  313.  
  314. (12)LDAP服务 
  315. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 389 -j ACCEPT 
  316.  
  317. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 389 -j ACCEPT 
  318.  
  319. (14)SSH服务 
  320. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT 
  321.  
  322. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 22 -j ACCEPT 
  323.  
  324. (15)telnet服务 
  325. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT 
  326.  
  327. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 23 -j ACCEPT 
  328.  
  329. (16)MySQL服务 
  330. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 3306 -j ACCEPT 
  331.  
  332. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 3306 -j ACCEPT 
  333.  
  334. (17)SQL Server 
  335. # iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 1433 -j ACCEPT 
  336.  
  337. # iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1433 -j ACCEPT