iptables配置实例

（注意：IPtables策略最好写成脚本运行，修改时只需修改脚本文件即可）

#!/bin/bash

export IPTABLES=/sbin/iptables
export ETH0=enp3s0

#清除所有规则
$IPTABLES -F
$IPTABLES -X

#设定规则
$IPTABLES -P INPUT DROP   #不在此规则里的数据包丢弃
$IPTABLES -P OUTPUT ACCEPT

# 开启本地环路，使得ping 127.0.0.1这样的包以通过。php-fpm的[http://127.0.0.1:9000](http://127.0.0.1:9000/)可以使用
iptables -A INPUT -i lo -j ACCEPT

# 允许自己发送包的返回通信，不开启这个，机器上面使用ping www.google.com这样的无法拼通
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#添加规则
$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p udp -s 192.168.1.0/24 --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p udp -s 192.168.1.0/24 --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p icmp -s 192.168.1.0/24 -j ACCEPT

$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 10050 -j ACCEPT
$IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 10051 -j ACCEPT