封IP
service iptables status可以查看到iptables服務的當前狀態
/etc/init.d/iptables stop
/etc/init.d/iptables start
單個IP的命令是
iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是
iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整個段的命令是
iptables -I INPUT -s 211.0.0.0/8 -j DROP
封幾個段的命令是
iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
服務器啟動自運行
有三個方法:
1、把它加到/etc/rc.local中
2、iptables-save >;/etc/sysconfig/iptables可以把你當前的iptables規則放到/etc/sysconfig/iptables中,系統啟動iptables時自動執行。
3、service iptables save 也可以把你當前的iptables規則放/etc/sysconfig/iptables中,系統啟動iptables時自動執行。
后兩種更好此,一般iptables服務會在network服務之前啟來,更安全
解封:
iptables -L INPUT
iptables -L --line-numbers 然后iptables -D INPUT 序號
----------------------------------------------------
防火牆端口操作
開啟端口:
#/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
#/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT
然后保存:
#/etc/rc.d/init.d/iptables save
關閉端口:
#/sbin/iptables -I INPUT -p tcp --dport 80 -j DROP
#/sbin/iptables -I INPUT -p tcp --dport 22 -j DROP
然后保存:
#/etc/rc.d/init.d/iptables save
-------------------------
iptables -F /* 清除所有規則 */
iptables -A INPUT -p tcp --dport 22 -j ACCEPT /*允許包從22端口進入*/
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允許從22端口進入的包返回*/
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT /* 域名解析端口,一般不開 */
iptables -A INPUT -p udp --sport 53 -j ACCEPT /* 域名解析端口,一般不開 */
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /*允許本機訪問本機*/
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允許所有IP訪問80端口*/
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables-save > /etc/sysconfig/iptables /*保存配置*/
iptables -L /* 顯示iptables列表 */