Iptables

---

安装iptables防火墙

如果没有安装iptables需要先安装

CentOS执行：

sudo yum install iptables

Debian/Ubuntu执行：

sudo apt-get install iptables

iptables的使用需要root身份

su - root

iptables -L : 显示所有规则

iptables -L

1、清除已有iptables规则（慎用）

iptables -F
iptables -X
iptables -Z

2、开放指定的端口

允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -p tcp --dport 20 -j ACCEPT
##### 如果有其他端口的话，规则也类似，稍微修改上述语句就行。

禁止其他未允许的规则访问（注意：如果22端口未加入允许规则，SSH链接会直接断开。）

1.用DROP方法

iptables -A INPUT -p tcp -j DROP

2. 用REJECT方法

iptables -A INPUT -j REJECTiptables -A FORWARD -j REJECT

3. 屏蔽IP

屏蔽单个IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

封整个段，即从123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

封IP段从123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

封IP段从123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP

4. 查看已添加的iptables规则

iptables -L -n

5. 删除已添加的iptables规则

##### 将所有iptables以序号标记显示，执行：
iptables -L -n --line-numbers

要删除INPUT里序号为8的规则，执行：

iptables -D INPUT 8
#####6、iptables的开机启动及规则保存

CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：

chkconfig --level 345 iptables on
##### 将其加入开机启动。

CentOS上可以执行：

service iptables save
##### 保存规则。

Debian/Ubuntu上iptables是不会一直保存规则的。

需要按如下步骤进行，让网卡关闭时保存iptables规则，启动时加载iptables规则。

1. 如果当前用户不是root，即使使用了sudo，也会提示你没有权限，无法保存。所以执行本命令，你必须使用root用户。

2. 可以使用sudo -i 快速转到root，使用完成，请使用su username切换到普通帐户。

3. 为了重启服务器后，规则自动加载，我们创建如下文件:

sudo vim /etc/network/if-pre-up.d/iptables

这个iptables文件里的初始内容是：

#!/bin/bash
iptables-save > /etc/iptables.rules

添加执行权限：

chmod +x /etc/network/if-pre-up.d/iptables

附上基础规则：

*filter
:INPUT ACCEPT [106:85568]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [188:168166]
:RH-Firewall-1-INPUT - [0:0]

# 允许本地回环接口(即运行本机访问本机)
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# 允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许所有本机向外的访问
-A OUTPUT -j ACCEPT

# 允许PPTP拨号到外网
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT

# 仅特定主机访问Rsync数据同步服务
-A INPUT -s 8.8.8.8/32 -p tcp -m tcp --dport 873 -j ACCEPT

# 仅特定主机访问WDCP管理系统
-A INPUT -s 6.6.6.6/32 -p tcp -m tcp --dport 8080 -j ACCEPT

# 允许访问SSH
-A INPUT -p tcp -m tcp --dport 1622 -j ACCEPT

# 允许访问FTP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

# 允许访问网站服务
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

# 禁止所有未经允许的连接
-A INPUT -p tcp -j DROP

#注意：如果22端口未加入允许规则，SSH链接会直接断开。
#-A INPUT -j REJECT
#-A FORWARD -j REJECTCOMMIT

可以使用以下方法直接载入：

• 1. 复制上面的规则粘贴到这里,保存文件 sudo vim /etc/iptables.test.rules
• 2. 把本规则加载,使之生效。注意，iptables不需要重启，加载一次规则就可以。sudo iptables-restore < /etc/iptables.test.rules
• 3. 查看最新的配置,应该所有的设置都生效了。sudo iptables -L -n
• 4. 保存生效的配置,让系统重启的时候自动加载有效配置（iptables提供了保存当前运行的规则功能）iptables-save > /etc/iptables.rules