iptables 常用配置示例

#清除规则
/sbin/iptables -F
/sbin/iptables -X 
/sbin/iptables -Z 

# 预定义策略
/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT  
/sbin/iptables -P INPUT   DROP 
# 设定默认防火墙策略，默认INPUT链是拒绝的
/sbin/iptables -P OUTPUT  ACCEPT  
# 同理，默认OUTPUT链是开放的
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
# 对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过！
/sbin/iptables -A INPUT -p icmp -j ACCEPT 
# 允许ping


#允许的本机服务
#/sbin/iptables -A INPUT -p TCP -i $IF --dport 22 -j ACCEPT        # 允许外部计算机连接22号端口
#/sbin/iptables -A INPUT -p TCP -i $IF --dport  80 -j ACCEPT        # 允许外部计算机连接80端口

# 黑名单
#/sbin/iptables -A INPUT -s 1.1.1.0/24 -j DROP    #拒绝1.1.1.0/24段的主机访问本机
#/sbin/iptables -A INPUT -s 1.1.1.0 -j DROP    #拒绝1.1.1.0的主机访问本机
# 信任的网络和IP
/sbin/iptables -A INPUT -s 1.1.1.1/24 -j ACCEPT # 信任的网络
/sbin/iptables -A INPUT -s 1.1.1.1  -j ACCEPT # 信任的ip

#将本机端口445出的流转转发到X.X.X.X:4445端口
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 445 -j DNAT --to-destination x.x.x.x:4445

#端口转发（将目的地址为61.144.14.72：3389端口转发到116.6.73.229:3389）
#进
iptables -t nat -A PREROUTING --dst 61.144.14.72 -p tcp --dport 3389 -j DNAT --to-destination 116.6.73.229:3389
#回
iptables -t nat -A POSTROUTING --dst 116.6.73.229 -p tcp --dport 3389 -j SNAT --to-source 61.144.14.72