#列出所有端口状态
iptables -L -n
#修改IP限制规则
vim /etc/sysconfig/iptables
#重启防火墙使配置生效
systemctl restart iptables.service
#设置防火墙开机启动
systemctl enable iptables.service
iptables 配置
示例:
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp --dport 8123 -j ACCEPT
-A INPUT -s 10.0.50.30/32 -p tcp -j ACCEPT
#操作命令
-A 添加规则
-I num 插入,把当前规则插入为第几条
-D num 删除,明确指定删除第几条规则
-P 设置默认策略的
-F 清空规则链的
-A 添加规则
-I num 插入,把当前规则插入为第几条
-D num 删除,明确指定删除第几条规则
-P 设置默认策略的
-F 清空规则链的
#匹配条件
流入、流出接口(-i、-o)
来源、目的地址(-s、-d)
协议类型 (-p)
来源、目的端口(–sport、–dport)
流入、流出接口(-i、-o)
来源、目的地址(-s、-d)
协议类型 (-p)
来源、目的端口(–sport、–dport)
例如:
–dport 80 匹配目的端口是 80 的数据包
–dport 6000:8000 匹配目的端口是 6000-8000 的数据包(含6000、8000)
–dport :3000 匹配目的端口是 3000 以下的数据包(含 3000)
–dport 1000: 匹配目的端口是 1000 以上的数据包(含 1000)
注意:–sport 和 --dport 必须配合 -p 参数使用
#动作(处理方式)
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
例如:-j ACCEPT
通过,允许数据包通过本链而不拦截它
例如:
iptables -A INPUT -j ACCEPT
允许所有访问本机 IP 的数据包通过
-j DROP
丢弃,阻止数据包通过本链而丢弃它
