iptable用法

一：添加屏蔽IP

 
#禁止此IP訪問服務器
iptables -I INPUT -s 1.2.3.4 -j DROP
或
iptables -A INPUT -s 1.2.3.4 -j DROP
#禁止服務器訪問此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
如果要封某個網段：
iptables -I INPUT -s 1.2.3.0/24 -j DROP

 

追加規則的完整實例：僅允許SSH服務 

本例實現的規則將僅允許SSH數據包通過本地計算機，其他一切連接（包括ping）都將被拒絕。

 

# 1.清空所有iptables規則
iptables -F

# 2.接收目標端口為22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# 3.拒絕所有其他數據包
iptables -A INPUT -j DROP

 

二：刪除規則

 1.按ip刪除規則

iptables -t filter -D INPUT -s 1.2.3.4 -j DROP

 也可以去掉filter，因為默認就是filter

iptables -D INPUT -s 1.2.3.4 -j DROP ：刪除ip1.2.3.4來源的封禁策略

2.按照規則id刪除

 iptables -D chain rulenum [options]

其中： chain 是鏈的意思，就是INPUT FORWARD 之類的定語

rulenum 是該條規則的編號。從1開始。可以使用iptables -L INPUT --line-numbers列出指定的鏈的規則的編號來。 

所以，例如上面要刪除一個INPUT鏈的規則的話可以這樣：

iptables -D INPUT 3

意思是刪除第3條規則。

3.一鍵清空所有規則

iptables -F

4.查看

iptables -L INPUT
或
iptables -L

 

需適當調大內核參數：ip_queue_maxlen，否則會出現大量的queue dropped

7.通過 cat /proc/net/ip_queue ，查看 ip_queue 運行情況，如果Queue dropped的數值不斷增大，則需要修改 ip_queue_maxlen 參數，比如 echo 4096 > /proc/sys/net/ipv4/ip_queue_maxlen ；如果Netlink dropped的數值不斷增大，修改 net.core.rmem_max 和 net.core.wmem_max 參數, 比如 sysctl -w net.core.rmem_max=16777216 和 sysctl -w net.core.wmem_max=16777216 。

 

http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html