iptables防火墙设置

1,之前遇到过这样的一个情况，公司内网有些爬虫要把所爬取的内容加入到数据库中，但是晚上需要拒绝连接，下面是我第一次设置 

iptables -I INPUT -s ip -j DROP    #发现这样设置并不能阻止它进来，后来修改如下可以了（有可以像数据库这种连接是不是长连接导致的）

iptables -I INPUT -s ip -m state --state NEW,RELATED,ESTABLISHED -j DROP   

 

2,对于几十台服务器，如果每台服务器都设置复杂的iptbles不现实，于是我们可以这样设置，对于前端的提供服务器的iptables 可以设置复杂一点，后端服务器可以如下设置 

iptables -A INPUT -s ip(服务器内网ip) -j ACCEPT           #为什么这里是内网，因为几十台服务器在一个内网，服务器之间的跳转是能过内网的

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT     #这里设置 了state模块，只允许tcp状态为ESTABLISHED才通过，这样设置，OUTPUT为ACCEPT时，从服务器向外部可以连接，但是外网无法主动连接服务器

iptables -P INPUT DROP

 

 

-A PREROUTING -d 114.215.xx.xx/32 -p tcp -m tcp --dport 7000:7005 -j DNAT --to-destination 10.161.211.85