iptable用法

一：添加屏蔽IP

 
#禁止此IP訪問服務器
iptables -I INPUT -s 1.2.3.4 -j DROP
或
iptables -A INPUT -s 1.2.3.4 -j DROP
#禁止服務器訪問此IP
iptables -A OUTPUT -d 1.2.3.4 -j DROP
若是要封某個網段：
iptables -I INPUT -s 1.2.3.0/24 -j DROP

 

追加規則的完整實例：僅容許SSH服務 

本例實現的規則將僅容許SSH數據包經過本地計算機，其餘一切鏈接（包括ping）都將被拒絕。

 

# 1.清空全部iptables規則
iptables -F

# 2.接收目標端口爲22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# 3.拒絕全部其餘數據包
iptables -A INPUT -j DROP

 

二：刪除規則

 1.按ip刪除規則

iptables -t filter -D INPUT -s 1.2.3.4 -j DROP

 也能夠去掉filter，由於默認就是filter

iptables -D INPUT -s 1.2.3.4 -j DROP ：刪除ip1.2.3.4來源的封禁策略

2.按照規則id刪除

 iptables -D chain rulenum [options]

其中： chain 是鏈的意思，就是INPUT FORWARD 之類的定語

rulenum 是該條規則的編號。從1開始。能夠使用iptables -L INPUT --line-numbers列出指定的鏈的規則的編號來。 

因此，例如上面要刪除一個INPUT鏈的規則的話能夠這樣：

iptables -D INPUT 3

意思是刪除第3條規則。

3.一鍵清空全部規則

iptables -F

4.查看

iptables -L INPUT
或
iptables -L

 

需適當調大內核參數：ip_queue_maxlen，不然會出現大量的queue dropped

7.經過 cat /proc/net/ip_queue ，查看 ip_queue 運行狀況，若是Queue dropped的數值不斷增大，則須要修改 ip_queue_maxlen 參數，好比 echo 4096 > /proc/sys/net/ipv4/ip_queue_maxlen ；若是Netlink dropped的數值不斷增大，修改 net.core.rmem_max 和 net.core.wmem_max 參數, 好比 sysctl -w net.core.rmem_max=16777216 和 sysctl -w net.core.wmem_max=16777216 。

 

http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html