请教iptables对指定端口的IP白名单设置

linux下要使用iptables限制只有指定的ip才能访问本机则需要先设置一个默认的规则iptables有默认的规则，它可以适用于所有的访问因为只有指定或特定的ip地址才能访问本机所以可以将默认的规则设置为所有访问全部阻止（当然这里需要注意下，如果你要设置的机器是在远端，比如vps则需要注意在设置默认规则的同时要将与该服务器链接的ip添加进白名单，否则在设置完默认阻止后你也无法访问这台服务器，也无法再进行 *** 作了，我们可以使用分号或者&&来在同一个命令行下来完成默认阻止和将自己的ip添加进白名单，假如你的ip地址为1.2.3.4则可以这样输入iptables -P INPUT DROPiptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT，或者也可以指定一个端口)设置默认规则后则可以添加白名单了比如允许2.3.4.5访问则可以iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT如果要限定的不是整个服务器而只是该服务器中的某个服务比如web服务（一般端口在80，https在443）则我们可以使用0.0.0.0/0来阻止所有的ip地址比如iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 80 -j DROP以及iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 443 -j DROP来阻止所有访问web服务器的ip地址然后再添加指定的ip到白名单比如添加1.2.3.4，我们可以iptables -A INPUT -s 1.2.3.4 -p tcp --dport 80 -j ACCEPT如果我们允许某个网段下的所有ip都可以访问的话比如1.2.3.[0-255]，我们可以iptables -A INPUT -s 1.2.3.0/24 -p tcp --dport -j ACCEPT总之不管是阻止所有的服务还是只阻止指定的服务我们可以先将默认的规则设置为所有ip都不可访问然后再手动添加ip地址到白名单

内容来源重庆思庄论坛：

防火墙的作用：

可以通过设置ip白名单/黑名单的方式限制外部ip的访问或者限制访问内部某个端口；

添加防火墙过滤规则步骤如下

1、查看现有防火墙过滤规则：

iptables -nvL --line-number

2、添加防火墙过滤规则（设置白名单）：

1）添加白名单

iptables -I INPUT 3 -s 196.168.133.5 -p tcp --dport 1521 -j ACCEPT

命令详解：

-I：添加规则的参数  

INPUT：表示外部主机访问内部资源

3：表示添加到第三行（可以任意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport: 用于匹配端口号

-j: 用于匹配处理方式：

常用的ACTION：

DROP：悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

2）查看添加结果

iptables -nvL --line-number

---