linux中iptables防火墙怎么设置？

一，安装并启动防火墙

［root@linux ~］# /etc/init.d/iptables start

当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables，我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。

1.加载模块

/sbin/modprobe ip_tables

2.查看规则

iptables -L -n -v

3.设置规则

#清除已经存在的规则

iptables -F

iptables -X

iptables -Z

#默认拒绝策略（尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问题。建议只在外网接口上做相应的配置）

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#ssh 规则

iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT

#本地还回及tcp握手处理

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT

#www-dns 规则

iptables -I INPUT -p tcp –sport 53 -j ACCEPT

iptables -I INPUT -p udp –sport 53 -j ACCEPT

iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT

iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT

#ICMP 规则

iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT

iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT

二，添加防火墙规则

1，添加filter表

1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口

出口我都是开放的iptables -P OUTPUT ACCEPT，所以出口就没必要在去开放端口了。

2，添加nat表

1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

将源地址是 192.168.10.0/24 的数据包进行地址伪装

3，-A默认是插入到尾部的，可以-I来插入到指定位置

1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT

2.［root@linux ~］# iptables -L -n --line-number

3.Chain INPUT （policy DROP）

4.num target prot opt source destination

5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8

7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的

8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED

11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW

12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后

13.Chain FORWARD （policy ACCEPT）

14.num target prot opt source destination

15.Chain OUTPUT （policy ACCEPT）

16.num target prot opt source destination

三，查下iptable规则

1，查看filter表

1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号，在删除的时候比较方便

2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21

如果不加-t的话，默认就是filter表，查看，添加，删除都是的

2，查看nat表

1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number

2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）

3.num pkts bytes target prot opt in out source destination

4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0

四，修改规则

1.［root@linux ~］# iptables -R INPUT 3 -j DROP //将规则3改成DROP

五，删除iptables规则

1.［root@linux ~］# iptables -D INPUT 3 //删除input的第3条规则

2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则

3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有规则

4.［root@linux ~］# iptables -F //清空所有规则

5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则

六，设置默认规则

1.［root@linux ~］# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP

所有添加，删除，修改后都要保存起来，/etc/init.d/iptables save.上面只是一些最基本的 *** 作，要想灵活运用，还要一定时间的实际 *** 作。

iptables配置常规映射及软路由

作用：虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器（eth0:192.168.1.1、eth1:10.0.0.5）做软路由达到访问10.0.0.5能访问的网络范围，并且通过iptables的NAT映射提供服务。

NAT 映射网络端口：

效果： 10.0.0.5:2222 —-》 192.168.1.2:22

命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22

service iptables save

service iptables restart

注意：1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关，如果10.0.0.5具有公网访问权限，dns则设置成公网对应dns

2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效

软路由192.168.1.0/24通过10.0.0.5访问外网：

命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5

service iptables save

service iptables restart

# iptables -P INPUT ACCEPT

# iptables -P OUTPUT ACCEPT

# iptables -P FORWARD ACCEPT

# iptables -A FORWARD -s 124.115.0.0/24 -j DROP

# iptables -I FORWARD -d 202.96.170.164 -j DROP

补充：：

封单个IP的命令是：

iptables -I INPUT -s 211.1.0.0 -j DROP

封IP段的命令是：

iptables -I INPUT -s 211.1.0.0/16 -j DROP

iptables -I INPUT -s 211.2.0.0/16 -j DROP

iptables -I INPUT -s 211.3.0.0/16 -j DROP

封整个段的命令是：

iptables -I INPUT -s 211.0.0.0/8 -j DROP

封几个段的命令是：

iptables -I INPUT -s 61.37.80.0/24 -j DROP

iptables -I INPUT -s 61.37.81.0/24 -j DROP想在服务器启动自运行的话有三个方法：

1、把它加到/etc/rc.local中

2、iptables-save /etc/sysconfig/iptables可以把你当前的iptables规则放到/etc/sysconfig/iptables中，系统启动iptables时自动执行。

3、service iptables save 也可以把你当前的iptables规则放/etc/sysconfig/iptables中，系统启动iptables时自动执行。

后两种更好此，一般iptables服务会在network服务之前启来，更安全。

解封的话：

iptables -D INPUT -s IP地址 -j REJECT

iptables -F 全清掉了

刚才不小心搞的自己都连不上了-_-!!!

iptables -I INPUT -p tcp --dport 80 -s 124.115.0.0/24 -j DROP以后用这种只封80端口就行了，不会出问题!

---