CentOS6.4 配置iptables

如果没有安装iptables可以直接用yum安装

yum install -t iptables

检查iptables服务的状态，

service iptables status

如果出现“iptables: Firewall is not running”,说明没有启动或没有规则
启动iptables服务

service iptables start

第一次配置前消除默认的规则

#这个一定要先做，不然清空后可能会悲剧
iptables -P INPUT ACCEPT

#清空默认所有规则
iptables -F

#清空自定义的所有规则
iptables -X

#计数器置0
 iptables -Z

配置规则

#如果没有此规则，你将不能通过127.0.0.1访问本地服务，例如ping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT    

#开启ssh端口22
iptables -A INPUT -p tcp --dport  -j ACCEPT

#开启FTP端口21
iptables -A INPUT -p tcp --dport  -j ACCEPT

#开启web服务端口80
iptables -A INPUT -p tcp --dport  -j ACCEPT

#tomcat
iptables -A INPUT -p tcp --dport  -j ACCEPT

#mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT

#允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type  -j ACCEPT

#允许所有对外请求的返回包
#本机对外请求相当于OUTPUT,对于返回数据包必须接收啊，这相当于INPUT了
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

#如果要添加内网ip信任（接受其所有TCP请求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

#每秒中最多允许5个新连接
iptables -A FORWARD -p tcp --syn -m limit --limit /s --limit-burst  -j ACCEPT

#每秒中最多允许5个新连接
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit /s -j ACCEPT

#Ping洪水攻击
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit /s -j ACCEPT

#封单个IP的命令是：
iptables -I INPUT -s 222.34.135.106 -j DROP

#封IP段的命令是：
iptables -I INPUT -s 211.1.0.0/ -j DROP
iptables -I INPUT -s 211.2.0.0/ -j DROP
iptables -I INPUT -s 211.3.0.0/ -j DROP

#封整个段的命令是：
iptables -I INPUT -s 211.0.0.0/ -j DROP

#封几个段的命令是：
iptables -I INPUT -s 61.37.80.0/ -j DROP
iptables -I INPUT -s 61.37.81.0/ -j DROP

#过滤所有非以上规则的请求
iptables -P INPUT DROP

保存重启

service iptables save
service iptables restart

删除规则用-D参数

删除之前添加的规则（iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT）

iptables -D INPUT -p tcp -m tcp --dport  -j ACCEPT