iptables 规则配置笔记。

配置要求：

一、WEB服务器只开放以下端口，其它的都拒绝：
SSH：22
APACHE：80
FTP：20-21
FTP端口范围：9000-9045

二、WEB服务器能访问所有类型外网

---

#以下规则测试成功，注释大力认为是这样的，不一定正确

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#允许回环，就是本机的进程有的要自己访问自己，否则服务器上很多进程都会跑不起来
如：netstat -an后，你可以看到
tcp        0      0 0.0.0.0:1024            0.0.0.0:*               LISTEN   
tcp        0      0 127.0.0.1:1025          0.0.0.0:*               LISTEN
回环请参考http://www.cnblogs.com/LCX/archive/2008/09/04/1283643.html
-A INPUT -i lo -j ACCEPT

#允许192.168.139.66访问服务器的22端口
-A INPUT -s 192.168.139.66 -p tcp -m tcp --dport 22 -j ACCEPT

#打开服务器的9000-9045端口
-A INPUT -p tcp -m tcp --dport 9000:9045 -j ACCEPT

#打开服务器的20\21\80端口，-m multiport --dports可以指定多个端口
-A INPUT -p tcp -m multiport --dports 20,21,80 -j ACCEPT

#允许连线出去后对方主机回应进来的封包（就是服务器请求外网后，要让请求外网的那部分数据流进来，否则服务器上打不开外网网站）。
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#允许icmp/PING
-A INPUT -p icmp -j ACCEPT

#当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理
-P INPUT DROP
-P FORWARD DROP