iptables 防火墙基本配置

  iptables 防火墙基本配置

操作系统环境:CentOS5.5

一、iptables读取流入和流出数据包的报头，将它们与规则集（Ruleset）相比较，将可接受的数据包从一个网卡转发至另一个网卡，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理.

二、CentOS5.5中自带iptables的防火墙.路径在/etc/init.d/iptables

三、启动防火墙
   
a./etc/init.d/iptables start

  
b.在默认情况下,防火墙是什么都不做的,任何端口都可以连通
 

四、iptables的策略

iptables -P INPUT DROP  # 表示所有进入的数据包全部拦截.(如果这个不是在本机上执行<例如在SSH上>，连接会马上断掉)

iptables -P OUTPUT ACCEPT  # 表示所有发送出去的数据包都可以正常发送出去.
iptables -P FORWARD ACCEPT # 表示接受过来的包可以进行转发.

五、配置一个防火墙链路

iptables -A INPUT -p tcp  --dport 22 -j  ACCEPT

iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx/24 --dport 22 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT # 设置回环地址

iptables -A OUTPUT -p tcp  --sport  22  -j  ACCEPT

iptables -A OUTPUT -p tcp -d xxx.xxx.xxx.xxx/24 --sport 22 -j ACCEPT

# INPUT 输入流的规则,表示客户端是否连能连接过来

# OUTPUT 输出流的规则,表示服务器是否能输出再某个地方.

# -p tcp 通讯协议

# -s xxx.xxx.xxx.xxx/24 源地址  （连接过来的 客户端）

# -d xxx.xxx.xxx.xxx/24 目标地址  (服务端输出过去的)

# --dport 22            目标地址端口

# --sport 22            源地址端口

# -j ACCEPT  接受这个数据包

# -j DROP   拒绝这个数据包

删除一个规则

iptables -D INPUT -p tcp   --dport 22 -j ACCEPT

六、清空iptables列表

iptables -F        清除预设表filter中的所有规则链的规则

iptables -X        清除预设表filter中使用者自定链中的规则

PS:iptables -F 这个命令无法清空iptables -P INPUT DROP,iptables -P OUTPUT ACCEPT ,iptables -P FORWARD ACCEPT这些命令带来的效果.

  如果想修改iptables -P INPUT DROP这个策略,可以直接iptables -P INPUT ACCEPT.

七、查看防火墙的配置信息

iptables -L -n