Linux iptables防火墙添加删除端口.docVIP

Linux iptables防火墙添加删除端口 2012-02-14 08:19:00 ????我来说两句?收藏我要投稿小 大aspx?2.? Iptables 保存?????? iptables的配置和其他用命令配置IP一样,重起就会失去作用，可以用如下两种方式进行保存。# service iptables save或者：# iptables-save /etc/sysconfig/iptables??????? /etc/sysconfig/iptables 是默认的保存位置。 在/etc/sysconfig 目录下还有一个iptables的配置文件：etc/sysconfig/iptables-config?注意：一般不建议用户手工修改这个文件的内容，这个文件只用于保存启动iptables时，需要自动应用的防火墙规则。?保存之后，把防火墙重启一下，才会生效。??? # service iptables restart?3、清除原有规则（慎用）：# iptables -F -- 清除预设表filter中的所有规则链的规则# iptables -X -- 清除预设表filter中使用者自定链中的规则?4、设定预设规则查看规则的状态：[root@localhost ~]# iptables -LChain INPUT (policy ACCEPT)target???? prot opt source?????????????? destination???????Chain FORWARD (policy ACCEPT)target???? prot opt source?????????????? destination???????Chain OUTPUT (policy ACCEPT)target???? prot opt source?????????????? destination???????????更改规则：?[root@tp ~]# iptables -P INPUT DROP?[root@tp ~]# iptables -P OUTPUT ACCEPT?[root@tp ~]# iptables -P FORWARD DROP?如果是ssh连接，连接会中断。??????? 上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包就DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包。而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT。?????? INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过。 这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.?5、添加规则.???? 首先添加INPUT链， 如我们要开启22端口：??? # iptables -A INPUT -p tcp --dport 22 -j ACCEPT???? 注意：如果你把OUTPUT 设置成DROP的就要写上下面的规则,好多人都是忘了写这一规则导致始终无法SSH。???? # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT?6、端口操作相关示例：?6.1 添加端口（1）??? 允许源地址为x.x.x.x/x的主机通过22(ssh)端口.iptables -A INPUT -p tcp -s x.x.x.x/x --dport 22 -j ACCEPT（2）允许80(http)端口的数据包进入?????? iptables -A INPUT -p tcp --dport 80 -j ACCEPT　（3）允许110(pop3)端口的数据包进入，如果不加这规则，就只能通过web页面来收信(无法用OE或Foxmail等来收)iptables -A INPUT -p tcp --dport 110 -j ACCEPT（4）　允许25(smtp)端口的数据包进入,如果不加这规则，就只能通过web页面来发信(无法用OE或Foxmail等来发)iptables -A INPUT -p tcp --dport 25 -j ACCEPT（5）允许21(ftp)端口的数据包进入(传数据)　　　　　　iptables -A INPUT -p tcp --dport 21 -j ACCEPT　（6）允许20(ftp)