iptables使用简介

如果服务器某个端口无法访问，比如连接不到对应数据库，除了要排查selinux和firewall之外，还需要查看iptables是否开启。

iptables -I INPUT -p tcp --dport 1234 -j ACCEPT

这个是打开1234 tcp端口的进，也就是可以访问这个端口了。-I的意思是input，就是在INPUT规则前面插入一条规则，ACCEPT就是接收打开端口。

除了-I还有一个-A（append），就是在规则后面追加。

iptables的规则是有顺序的，-I的内容会覆盖-A的内容，就是插入到前面的规则生效，添加规则中并不会删除规则，而是不断添加。

iptables -L是查看所有添加的规则

iptables -L -n --line-number查看所有规则，并且列出对应的序号。这个一般是与iptables -D INPUT 1一起使用，表示删除某一个规则，序号就是iptables -L -n --line-number列出的，比如这条语句就是删除INPUT规则的序号是1的规则。这里需要注意，如果连续删除多个规则，每次操作完需要重新查看一下序号，因为删除后序号会变。

telnet: connect to address : No route to host

当telnet或者wget测试http的时候，如果提示这个错误，有可能是iptables中的一个配置导致的问题
iptables的规则是从上到下执行，会不断覆盖，比如上面写的禁止80端口，下面又打开80端口，那么最后是打开80端口，但是这个配置-A INPUT -j REJECT --reject-with icmp-host-prohibited一旦出现，就会直接退出规则列表，如果你配置的打开tcp 80端口写在了这一条的后面，有可能是不起作用的，就会出现浏览器无法访问，wget提示No route to host。
需要编辑/etc/sysconfig/iptables把这一条规则放到INPUT的最后面。