iptables的各种用法,各种的实例！

admin

1、安装iptables防火墙
CentOS执行：yum install iptables
; g* n) X& b- s Debian/Ubuntu执行：apt-get install iptables
4 o; z5 l" _$ P. H6 ~6 A
9 |# s4 O- W6 I) q% C4 s2 Q0 z2、清除已有iptables规则
) g/ e; p# z% T6 j9 I6 d4 e0 @* siptables -F
iptables -X
iptables -Z

* ~+ O7 [  R% R3、开放指定的端口
4 G! |! s; z# |' _' {7 O6 M#允许本地回环接口(即运行本机访问本机)
; z0 H5 |2 D' ~* }: ]3 s. @iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
2 p$ ]9 l7 z7 j! o! [4 ^4 ]9 Y # 允许已建立的或相关连的通行
  l3 z$ a: l" |4 k7 _) Wiptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
5 K7 L( W& F7 R! s+ T #允许所有本机向外的访问
% @6 n0 |# _, Q4 }( y! C; siptables -A OUTPUT -j ACCEPT
# 允许访问22端口
# Y2 V% y+ \0 ~8 s1 e  y: }# ^) D3 Ciptables -A INPUT -p tcp –dport 22 -j ACCEPT
- B" G; M9 M( f  M #允许访问80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
#允许FTP服务的21和20端口
& n3 U- O, K, piptables -A INPUT -p tcp –dport 21 -j ACCEPT
6 U5 e" `4 \5 K" x: z3 x! [ iptables -A INPUT -p tcp –dport 20 -j ACCEPT
4 f6 m/ ?4 d) `8 h8 |; S #如果有其他端口的话，规则也类似，稍微修改上述语句就行
#禁止其他未允许的规则访问
% f, {2 a$ s/ u. Z! I8 |iptables -A INPUT -j REJECT
/ S# a1 Y4 _! }+ T5 b& o; y1 o iptables -A FORWARD -j REJECT

. `: J* h2 ^& V& H; D; A  v7 b4、屏蔽IP
% f1 e7 v/ m4 Q) E# Q  h7 j* {+ X$ y' f #如果只是想屏蔽IP的话3、“开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
9 E& D- w6 q7 b# X9 l2 U #封整个段即从123.0.0.1到123.255.255.254的命令
+ Q) m6 l" u% k) R( biptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
4 `; P" o, T5 ?- R5 C #封IP段即从123.45.6.1到123.45.6.254的命令是
6 c' p" s" j0 [8 }" W. H' S, S- Y) Yiptables -I INPUT -s 123.45.6.0/24 -j DROP
  _" C. t" M3 b  L, d: T& [6 K8 u
7 H% v9 E, |( _$ h( U, o( h6 D7 h4、查看已添加的iptables规则
  y! s+ `: F9 ?( _iptables -L -n
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
) D4 q) u+ c. Rx：在 v 的基础上，禁止自动单位换算（K、M）
& i* r  X7 o6 ?! w* O  xn：只显示IP地址和端口号，不将ip解析为域名

' |5 d7 @5 G. @' B* w! m/ I9 Z5、删除已添加的iptables规则
将所有iptables以序号标记显示，执行：
" }2 L( V/ t# c2 N' B* i( iiptables -L -n –line-numbers
比如要删除INPUT里序号为1的规则，执行：
iptables -D INPUT 1
( ~" n0 F# e' f* p# }4 J# j
6、iptables的开机启动及规则保存
9 }! _) V3 u. m  p' Zchkconfig –level 345 iptables on
CentOS上可以执行：service iptables save保存规则
linux下使用iptables封ip段的一些常见命令：
封单个IP的命令是：
iptables -I INPUT -s 211.1.0.0 -j DROP
) l& |: g3 c. U, J4 O# E3 L7 E封IP段的命令是：
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP

, q% i2 |8 g+ @& r, w封整个段的命令是：
5 X$ L4 C7 b, E8 D7 {iptables -I INPUT -s 211.0.0.0/8 -j DROP
8 Z8 \* V6 M5 S+ z+ ^* k2 |) i; F6 T
封几个段的命令是：
iptables -I INPUT -s 61.37.80.0/24 -j DROP
' j3 j+ H# \; l iptables -I INPUT -s 61.37.81.0/24 -j DROP
" A; M  _8 k9 x9 O+ X, z
+ b  y1 x% G1 h解封的话：
8 w5 F2 ]0 y; Y) eiptables -D INPUT -s IP地址 -j REJECT
3 k  L0 h" ~7 e) G- z0 k iptables -F 全清掉了

关闭： /etc/rc.d/init.d/iptables stop
启动： /etc/rc.d/init.d/iptables start
重启： /etc/rc.d/init.d/iptables restart
) h  O  ]6 f+ T4 S& n+ J, s
1、重启后生效
开启：chkconfig iptables on
$ [9 z" ]( c5 b. z关闭：chkconfig iptables off
2、即时生效，重启后失效
开启：service iptables start
关闭：service iptables stop