Linux防火墙--iptables

iptables表格有三类: filter, nat, mangle，默认filter。
设置开机启动iptables
chkconfig –level 345 iptables on
设置开机关闭iptables
chkconfig –level 345 iptables off
手动启动服务service iptables start
手动停止服务service iptables stop
手动重启服务service iptables restart

查看过滤表格
iptables -L
查看转址表格
iptables -L -t nat
查看重组表格
iptables -L -t mangle
清除过滤表格的规则：
iptables -F -t filter
清除新建立的链接
iptables -X -t filter
拒绝特定来源地址的数据包
iptables -A INPUT -s 20.36.18.250 -j REJECT
丢弃特定来源地址的数据包
iptables -A INPUT -s 20.36.18.250 -j DROP
丢弃来自本机特定端口号的数据包
iptables -A INPUT -i eth0 -p tcp –dport 21 -j DROP
限制NAT内的主机连接到特定端口号
iptables -A FORWORD -i eth0 -p tcp –sport 21 -j DROP
限制特定的主机不能连接到特定的端口号
iptables -A FORWORD -i eth0 -s 20.36.18.250 -p tcp –sport 21 -j DROP
限制特定主机对本机的ping动作
iptables -A INPUT -p icmp –icmp-type 8 -s 20.36.18.250 -j REJECT
避免Ping of Death
iptables -A INPUT -p icmp –icmp-type 8 -j REJECT
避免Denial of Service
iptables -A INPUT –protocol tcp –tcp-flags ALL SYN, ACK, FIN -j REJECT
拒绝特定网卡的链接
iptables -I INPUT -m mac –mac-source 00:11:34:98:A8:9B -j DROP

清除转址表格的设置
iptables -F -t nat
iptables -X -t nat
设置转址功能，让某个地址段的设备通过本机连接到外部
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/254 -j MASQUERADE
设置NAT上的服务转到内部的主机
iptables -t nat -A PREROUTING -p tcp -d 10.10.17.81 –dport 22 -j DNAT –to 10.10.18.90