Linux-iptables 防火墙设置
iptables的使用与小解 适用centos6 不适用centos7
0.iptables 五个链 四个表
五个链:PREROUTING INPUT OUTPUT FORWARD POSTROUTING
四个表:Mangle表 Nat表 Filter表 Raw表 一般我们操作Filter表
处理表优先级:raw > mangle > nat > filter
1.清空 filter table
iptables -F -t filter #-F 清空指定某个 chains 内所有的 rule 设定
iptables -X -t filter #-X 是删除使用者自订 table 项目
iptables -Z -t filter #-Z 规则计数器清零
2.清空 nat table
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
3.设置默认策略(INPUT链默认为DROP)
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
4.回环接口(lo),默认accept
iptables -A INPUT -p ALL -i lo -j ACCEPT
5.只对内网用户开放sshd服务
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
说明:-s 192.168.1.0/24 意思为:192.168.118.0/24==192.168.118.1到192.168.118.254的ip段
6.保存规则
/etc/rc.d/init.d/iptables save
7.iptables 服务重启 生效
/etc/init.d/iptables restart
8.参数说明:
【 -F 清空指定某个 chains 内所有的 rule 设定】
【 -X 是删除使用者自订 table 项目】
【 -Z 规则计数器清零】
【 -A 链 参照:五个链 :指定链】
【 -t 表 参照:四个表 :指定表】
【 -P 链名称 参照:五个链 :定义链的默认规则】
【 -p 协议名 如:tcp,udp,icmp,ip 和all。:指定协议】
【 -s 源地址 】
【 -d 目的地址 】
【 -sport 源端口】
【 -dport 目的端口】
【 -i 网络出入口匹配】
【多端口匹配】
20: 表示20以后的所有端口
20:100 表示20到100的端口
:20 表示20之前的所有端口
