如果没有安装iptables可以直接用yum安装
yum install -t iptables
检查iptables服务的状态,
service iptables status
如果出现“iptables: Firewall is not running”,说明没有启动或没有规则
启动iptables服务
service iptables start
第一次配置前消除默认的规则
#这个一定要先做,不然清空后可能会悲剧
iptables -P INPUT ACCEPT #清空默认所有规则
iptables -F #清空自定义的所有规则
iptables -X #计数器置0
iptables -Z
配置规则
#如果没有此规则,你将不能通过127.0.0.1访问本地服务,例如ping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT #开启ssh端口22
iptables -A INPUT -p tcp --dport -j ACCEPT #开启FTP端口21
iptables -A INPUT -p tcp --dport -j ACCEPT #开启web服务端口80
iptables -A INPUT -p tcp --dport -j ACCEPT #tomcat
iptables -A INPUT -p tcp --dport -j ACCEPT #mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT #允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type -j ACCEPT #允许所有对外请求的返回包
#本机对外请求相当于OUTPUT,对于返回数据包必须接收啊,这相当于INPUT了
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT #如果要添加内网ip信任(接受其所有TCP请求)
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT #每秒中最多允许5个新连接
iptables -A FORWARD -p tcp --syn -m limit --limit /s --limit-burst -j ACCEPT #每秒中最多允许5个新连接
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit /s -j ACCEPT #Ping洪水攻击
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit /s -j ACCEPT #封单个IP的命令是:
iptables -I INPUT -s 222.34.135.106 -j DROP #封IP段的命令是:
iptables -I INPUT -s 211.1.0.0/ -j DROP
iptables -I INPUT -s 211.2.0.0/ -j DROP
iptables -I INPUT -s 211.3.0.0/ -j DROP #封整个段的命令是:
iptables -I INPUT -s 211.0.0.0/ -j DROP #封几个段的命令是:
iptables -I INPUT -s 61.37.80.0/ -j DROP
iptables -I INPUT -s 61.37.81.0/ -j DROP #过滤所有非以上规则的请求
iptables -P INPUT DROP
保存重启
service iptables save
service iptables restart
删除规则用-D参数
删除之前添加的规则(iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT)
iptables -D INPUT -p tcp -m tcp --dport -j ACCEPT