CentOS:iptables设置：修订间差异

2015年8月27日 (四) 16:12的最新版本

以下记录为阿里云服务器开启iptables。因为是SSH登录的，所以小心一启动防火墙，连接中断了噢~ 哈哈

#首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。
#这个一定要先做，不然清空后可能会悲剧
iptables -P INPUT ACCEPT
#清空默认所有规则
iptables -F
#清空自定义的所有规则
iptables -X
#计数器置0
iptables -Z

#允许来自于lo接口的数据包
#如果没有此规则，你将不能通过127.0.0.1访问本地服务，例如ping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT
#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#web服务端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
#允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#允许所有对外请求的返回包
#本机对外请求相当于OUTPUT,对于返回数据包必须接收啊，这相当于INPUT了
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
#如果要添加内网ip信任（接受其所有TCP请求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
#过滤所有非以上规则的请求
iptables -P INPUT DROP
#要封停一个IP，使用下面这条命令：

iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一个IP，使用下面这条命令:

iptables -D INPUT -s ***.***.***.*** -j DROP

下面是配置后得到的iptables 文件：

# iptables-save > /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Fri Aug 28 00:04:35 2015
*filter
:INPUT DROP [1:40]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [279:28212]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9306 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Fri Aug 28 00:04:35 2015

@@ 第41行： / 第41行： @@
 iptables -D INPUT -s ***.***.***.*** -j DROP
 </source>
-[[Image:CentOS_Iptables.png|right]]
+[[Image:CentOS_Iptables.png]]
 下面是配置后得到的iptables 文件：
 <source lang="bash">