linux中防火墙iptables的操作

查看帮助

iptables -h
man iptables

列出iptables规则

iptables -L -n

列出iptables规则并显示规则编号

iptables -L -n –line-numbers

列出iptables nat表规则（默认是filter表）

iptables -L -n -t nat

清除默认规则（注意默认是filter表，如果对nat表操作要加-t nat）

清楚所有规则

iptables -F

重启iptables发现规则依然存在，因为没有保存

service iptables restart

保存配置

service iptables save

禁止ssh登陆（若果服务器在机房，一定要小心）

iptables -A INPUT -p tcp –dport 22 -j DROP

删除规则

iptables -D INPUT -p tcp –dport 22 -j DROP

-A, –append chain 追加到规则的最后一条
-D, –delete chain [rulenum] Delete rule rulenum (1 = first) from chain
-I, –insert chain [rulenum] Insert in chain as rulenum (default 1=first) 添加到规则的第一条
-p, –proto proto protocol: by number or name, eg. ‘tcp’,常用协议有tcp、udp、icmp、all
-j, –jump target 常见的行为有ACCEPT、DROP和REJECT三种，但一般不用REJECT，会带来安全隐患

注意：INPUT和DROP这样的关键字需要大写

禁止192.168.33.0网段从eth0网卡接入

iptables -A INPUT -p tcp -i eth0 -s 192.168.33.0 -j DROP
iptables -A INPUT -p tcp –dport 22 -i eth0 -s 192.168.33.61 -j ACCEPT

禁止ip地址非192.168.10.10的所有类型数据接入

iptables -A INPUT ! -s 192.168.10.10 -j DROP

禁止ip地址非192.168.10.10的ping请求

iptables -I INPUT -p icmp –icmp-type 8 -s 192.168.50.100 -j DROP

扩展匹配：1.隐式扩展 2.显示扩展

1.隐式扩展-p tcp    --sport PORT 源端口    --dport PORT 目标端口2.显示扩展：使用额外的匹配规则-m EXTENSTION --SUB-OPT-p tcp --dport 22 与 -p tcp -m tcp --dport 22功能相同state：状态扩展，接口ip_contrack追踪会话状态    NEW：新的连接请求    ESTABLISHED：已建立的连接请求    INVALID：非法连接    RELATED：相关联的连接

匹配端口范围

iptables -I INPUT -p tcp –dport 22:80 -j DROP

匹配多个端口

iptables -I INPUT -p tcp -m multiport –dport 22,80,3306 -j ACCEPT

不允许源端口为80的数据流出

iptables -I OUTPUT -p tcp –sport 80 -j DROP