【linux】Iptables防火墙策略及配置文件

一、查看iptables里的规则：

iptables   -L   INPUT / FORWARD / OUTPUT

修改默认iptables里的规则：iptables -P
追加iptables里的规则：iptables -A
修改规则：iptables -R
删除规则：iptables -D
清空规则：iptables -F

二、处理方式两种：ACCEPT / DROP

三、匹配条件：
出入接口（-o、-i） 网卡
源、目的地址（-s、-d） IP或者IP段
协议类型（-p） TCP ，UDP
源、目的端口（-sport、-dport）

示例：

# 将接口eth0流出的数据DROP掉
iptables -A OUTPUT -o eth0 -j DROP

# 将流入到接口eth0的数据DROP掉
iptables -A INPUT -i eth0 -j DROP

# 将来自192.168.0.1的任何请求DROP掉
iptables -A INPUT -s 192.168.0.1 -j DROP

# 将本机发往192.168.0.1的任何请求DROP掉
iptables -A OUTPUT -d 192.168.0.1 -j DROP

【注：可以是单个IP（192.168.0.1）、网段（192.168.0.1/24）、域名；不设置则表示任何地址】

----------------------------------------------
# 禁止192.168.0.1/24的客户机连接本机22端口
iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 22 -j DROP

# 禁ping
iptables -A INPUT -p icmp -j DROP

# 可以ping通其他客户机，但是其他客户机ping 不通该机
iptables -A INPUT -p 1 --icmp -type 8 -j DTOP

----------------------------------------------

【按照端口匹配】

# 将来自80端口的请求DROP掉
iptables -A INPUT -p tcp --sport 80 -j DROP

# 将来自192.168.0.1/24的针对本机80端口的请求DROP掉
iptables -A INPUT -s 192.168.0.1/24 -p tcp --dport 80 -j DROP

注意：
1、–sport、–dport必须配合参数-p使用；
2、可以指定某个端口，也可是端口范围，
比如 ：2000（2000一下端口）、2000:3000（2000-3000端口）、3000: （3000以上端口）

---

规则配置文件目录：/etc/sysconfig/iptables

# 保存到文件中的命令：
service iptables save

# 临时保存，重启无效
iptables - save 

# 放弃保存
iptables -restore