1) 永久性生效,重启后不会复原
开启: chkconfig iptables on 关闭: chkconfig iptables off |
2) 即时生效,重启后复原
开启: service iptables start 关闭: service iptables stop |
iptables 脚本配置说明
cat /etc/sysconfig/iptables 文件,内容:
# Firewall configuration written by system-config-securitylevel 接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包。 接受所有目标端口为 22 的 TCP 新连接数据包。 接受所有目标端口为 80 的 TCP 新连接数据包。 接受所有目标端口为 3306 的 TCP 新连接数据包。 接受61.15.11.210 端口为 3306 的 TCP 新连接数据包。 其余数据包一律拒绝,并以 icmp-host-prohibited 数据包回应。 |
iptables 开关参数
--dport 指定目标TCP/IP端口号。 --icmp-type 允许指定ICMP报文的类型。 -j 指定采取一个iptables动作。 --limit 设置一条指定报文的速率。如2/s=每秒两个。 -m 查找数据中一个配额,可能是tcp或udp,或者一个条件限额。 -p 查找数据中一个协议,如tcp或udp。 -s 指定一个IP地址。 --dport 指定一个端口号。 --tcp-flags 查找一个TCP数据包中的标志。 |
iptables 动作
-j ACCEPT 允许指定特征相匹配的数据进入或者离开计算机。 -j DROP 阻止指定特征相匹配的数据进入或者离开计算机。 -j REJECT 阻止指定特征相匹配的数据进入或者离开计算机,并发送一条信息给源计算机。 -j LOG 把匹配数据包的记录记载到/var/log/messages文件中。 |