編輯iptables.rules完後
執行 iptables-restore < /etc/iptables.rules
debian系統這樣就預設開啟了防火牆規則,centos系統需要重新啟動防火牆。
debian開機啟動iptables方式:
vim /etc/network/if-pre-up.d/iptables
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.rules
##若是直接新增需要iptables -a input -i lo -p all -j accept 如此,在iptables.rules不要!
####編輯防火牆規則####
vim /etc/iptables.rules
*filter
# # dport:目的埠
# sport:**埠
# output開啟了drop,注意dport/sport
# input方式總結:dport指本地,sport指外部
# output行為總結:dport只外部,sport指本地。
# 注意:output鏈,output鏈預設規則是accept,就需要新增drop(放棄)的鏈.否則不需要!
# iptables -p output accept(預設開啟所有本地訪問外部)
-p input drop
-p output drop
-p forward drop
# 切記!切記!切記!切記!切記!切記!切記!
#新增上面三條命令,會斷開所有埠,包括現在遠端連線ssh,因此要及時一起新增相應需要的命令
#允許loopback!(不然會導致dns無法正常關閉等問題)
-a input -i lo -p all -j accept
# (如果是input drop)
-a output -o lo -p all -j accept
# (如果是output drop)
# 開啟ssh服務22埠(所有ip位址都允許登陸ssh)
-a input -p tcp -m tcp --dport 22 -j accept
-a output -p tcp -m tcp --sport 22 -j accept
# 開啟web服務80埠
-a output -p tcp -m tcp --sport 80 -j accept
-a input -p tcp -m tcp --dport 80 -j accept
# 開啟ftp服務20/21埠
-a input -p tcp --dport 21 -j accept
-a input -p tcp --dport 20 -j accept
# 如果做了dns伺服器,開啟53埠
-a input -p tcp --dport 53 -j accept
# 允許icmp包通過,也就是允許ping,
-a output -p icmp -j accept
# (output設定成drop的話)
-a input -p icmp -j accept
# (input設定成drop的話)
# 以下是限制的比較詳細,允許某個ip位址允許訪問ssh
-a input -s 172.21.0.1 -p tcp --dport 22 -j accept
# 如果要允許,或限制一段ip位址可用 172.21.0.0/16 表示172.16.0.0網段
commit
iptables檢視 新增 刪除規則
1 檢視 iptables nvl line number l 檢視當前表的所有規則,預設檢視的是filter表,如果要檢視nat表,可以加上 t nat引數 n 不對ip位址進行反查,加上這個引數顯示速度會快很多 v 輸出詳細資訊,包含通過該規則的資料報數量,總位元組數及相應的網路介面 line ...
CentOS新增 iptables規則及註冊事項
開放乙個埠 iptables a input m state state new m tcp p tcp dport 80 j accept 開放乙個ip iptables a input s 192.168.0.5 j accept 開放乙個ip的特定埠 iptables a input s 19...
iptables 生產規則
bin bash etc init.d iptables stop iptables a input p tcp dport 80 j accept iptables a input p tcp dport 21 j accept iptables a input s 192.168.17.0 24...