iptables一些经常忘掉易混淆的参数

-A:新增加一条规则,该规则在原规则的最后面

-p:规定应用于哪种数据包，例如：tcp,udp等

-d:(destination)，表示目标IP或网络

-s:(source)，表示源IP或网络

-j:后面接动作，例如：ACCEPT，DROP，REJECT等

-i:后面接网卡名，input的缩写，与INPUT链配合

-o:后面接网卡名，output缩写，与output链配合

-L:列出目前的table原则

-n:不进行IP与HOSTNAME的反查

-v:列出更多信息

-F:清楚所有的已定制的规则

-X:清楚所有用户"自定义"的chain或者tables

-Z:将所有的chain的计数与流量统计都归零

注意：

在 -s 参数后面可以增加一个参数 -sport 端口范围(限制来源端口),如:1024:65535

在-d 参数后面可以增加一个参数 -dport 端口范围(限制目标端口)

需要特别注意，这两个参数重点在port上面，并且仅有TCP和UDP数据包具有端口，因此要想使用–dport，–sport时需要加上-p tcp或者 -p udp才会成功

常用用法：

来自192.168.100.10的就接受，来自192.168.100.11就抛弃

iptables -A INPUT -i eth0 -s 192.168.100.10 -j ACCEPT

iptables -A INPUT -i eth0 -s 192.168.100.11 -j DROP

iptables -I INPUT -i eth0 -s 192.168.100.0/24 -j ACCEPT

丢弃所有想要链接本机21端口的数据包

iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP

禁止某个IP访问80端口

iptables -A INPUT -s "IP" -p tcp --dport 80 -j DROP

只要来自192.168.1.0/24的1024:65535端口的数据包，且想要连接的本机的ssh port就阻挡

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65535 --dport ssh -j DROP

开启常用端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 3306 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT

操作命令

保存防火墙配置

/etc/init.d/iptables save

开机自启动防火墙

chkconfig iptables on

查看运行状态

/etc/init.d/iptables status

未完待续