• Iptables 介紹
  • 前提說明
  • Iptables 安裝
  • Iptables 服務器配置文件常用參數(shù)
  • Iptables 例子
  • Iptables 資料

前提說明

iptables 的設置在 CentOS 和 Ubuntu 下有些細節(jié)不一樣，Ubuntu 這里不講，文章底下貼的資料有部分關于 Ubuntu 的，有需要的可以自己看。一般大家會用到 iptables 都是服務器，而一般服務器大家普遍是用 CentOS）

Iptables 安裝

• 查看是否已安裝：

  • CentOS：rpm -qa | grep iptables
• 安裝（一般系統(tǒng)是集成的）：
  • CentOS 6：sudo yum install -y iptables

Iptables 服務器配置文件常用參數(shù)

• 常用命令：
  • 查看已有規(guī)則列表，并且顯示編號：sudo iptables -L -n --line-numbers
  • http://wiki.jikexueyuan.com/project/linux-in-eye-of-java/images/Iptables-a-1.jpg" alt="Iptables 服務器配置文件常用參數(shù)" />
  • 要刪除 INPUT 里序號為 8 的規(guī)則，執(zhí)行：sudo iptables -D INPUT 8
  • 保存配置命令：sudo service iptables save 或者 sudo /etc/rc.d/init.d/iptables save
  • 重啟服務命令 ：sudo service iptables restart
  • 查看服務狀態(tài)： sudo service iptables status
  • 設置開啟默認啟動： sudo chkconfig --level 345 iptables on
  • 清除所有規(guī)則(慎用)
    • sudo iptables -F
    • sudo iptables -X
    • sudo iptables -Z
  • 添加規(guī)則：格式 sudo iptables [-AI 鏈名] [-io 網(wǎng)絡接口] [-p 協(xié)議] [-s 來源IP/網(wǎng)域] [-d 目標IP/網(wǎng)域] -j [ACCEPT|DROP|REJECT|LOG]
  • 選項與參數(shù)：
    • -AI 鏈名：針對某的鏈進行規(guī)則的 "插入" 或 "累加"
      • -A ：新增加一條規(guī)則，該規(guī)則增加在原本規(guī)則的最后面。例如原本已經有四條規(guī)則，使用 -A 就可以加上第五條規(guī)則！
      • -I ：插入一條規(guī)則。如果沒有指定此規(guī)則的順序，默認是插入變成第一條規(guī)則。例如原本有四條規(guī)則，使用 -I 則該規(guī)則變成第一條，而原本四條變成 2~5 號鏈 ：有 INPUT, OUTPUT, FORWARD 等，此鏈名稱又與 -io 有關，請看底下。
    • -io 網(wǎng)絡接口：設定封包進出的接口規(guī)范
      • -i ：封包所進入的那個網(wǎng)絡接口，例如 eth0, lo 等接口。需與 INPUT 鏈配合；
      • -o ：封包所傳出的那個網(wǎng)絡接口，需與 OUTPUT 鏈配合；
    • -p 協(xié)定：設定此規(guī)則適用于哪種封包格式。主要的封包格式有： tcp, udp, icmp 及 all 。
    • -s 來源 IP/網(wǎng)域：設定此規(guī)則之封包的來源項目，可指定單純的 IP 或包括網(wǎng)域，例如：IP：192.168.0.100，網(wǎng)域：192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。若規(guī)范為『不許』時，則加上 ! 即可，例如：-s ! 192.168.100.0/24 表示不許 192.168.100.0/24 之封包來源。
    • -d 目標 IP/網(wǎng)域：同 -s ，只不過這里指的是目標的 IP 或網(wǎng)域。
    • -j ：后面接動作，主要的動作有接受(ACCEPT)、丟棄(DROP)、拒絕(REJECT)及記錄(LOG)

Iptables 例子

• 開放指定端口
  • sudo iptables -I INPUT -i lo -j ACCEPT #允許本地回環(huán)接口(即運行本機訪問本機)
  • sudo iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允許已建立的或相關連的通行
  • sudo iptables -I OUTPUT -j ACCEPT #允許所有本機向外的訪問
  • sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT # 允許訪問 22 端口
  • sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #允許訪問 80 端口
  • sudo iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT #允許訪問 8080 端口
  • sudo iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #允許 FTP 服務的 21 端口
  • sudo iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #允許 FTP 服務的 20 端口
  • sudo iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許 ping
  • sudo iptables -I INPUT -j REJECT #禁止其他未允許的規(guī)則訪問（使用該規(guī)則前一定要保證 22 端口是開著，不然就連 SSH 都會連不上）
  • sudo iptables -I FORWARD -j REJECT

Iptables 資料

• https://wsgzao.github.io/post/iptables/
• http://www.vpser.net/security/linux-iptables.html