iptables基本操做

1、基本操做

#啓動防火牆

service iptables start

#中止防火牆

service iptables stop

#重啓防火牆

service iptables restart

#查詢防火牆運行等狀態信息

service iptables status

#永久關閉防火牆

chkconfig iptables off

#永久關閉防火牆以後要啓用

chkconfig iptables on

# 保存對防火牆的設置

serivce iptables save

2、往防火牆添加規則

1）、直接編輯 /etc/sysconfig/iptables

2）、經過命令進行添加

開放8080端口

#入棧規則

iptables -A  INPUT    -p tcp --dport 8080 -j ACCEPT

#出棧規則

iptables -A OUTPUT -p tcp --sport 8080 -j ACCEPT

禁止某個IP訪問

iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP

刪除規則

iptables -D INPUT 2   #刪除INPUT鏈編號爲2的規則

參數講解：

-A 添加一條規則

-p 指定協議，咱們經常使用的tcp 協議，固然也有udp，例如53端口的DNS

--dport 進入端口，當數據從外部進入服務器爲目標端口

--sport 出入端口，數據從服務器出去，則爲數據源端口使用 

-j 就是指定是 ACCEPT 接收，或者 DROP 不接收

-s 指定來源IP等（如192.168.1.2）

具體看iptables --help

Usage: iptables -[ACD] chain rule-specification [options]

             iptables -I chain [rulenum] rule-specification [options]

             iptables -R chain rulenum rule-specification [options]

             iptables -D chain rulenum [options]

             iptables -[LS] [chain [rulenum]] [options]

             iptables -[FZ] [chain] [options]

             iptables -[NX] chain

             iptables -E old-chain-name new-chain-name

             iptables -P chain target [options]

             iptables -h (print this help information)

Commands:

Either long or short options are allowed.

  --append  -A chain Append to chain

  --check     -C chain Check for the existence of a rule

  --delete     -D chain Delete matching rule from chain

  --delete     -D chain rulenum                   Delete rule rulenum (1 = first) from chain

  --insert      -I    chain [rulenum]                 Insert in chain as rulenum (default 1=first)

  --replace   -R   chain rulenum      Replace rule rulenum (1 = first) in chain

  --list           -L    [chain [rulenum]]      List the rules in a chain or all chains

  --list-rules -S    [chain [rulenum]]              Print the rules in a chain or all chains

  --flush        -F    [chain]                      Delete all rules in  chain or all chains

  --zero        -Z    [chain [rulenum]]       Zero counters in chain or all chains

  --new        -N    chain                      Create a new user-defined chain

  --delete  -chain    -X [chain]              Delete a user-defined chain

  --policy     -P     chain target               Change policy on chain to target

  --rename-chain             

                   -E     old-chain new-chain        Change chain name, (moving any references)

Options:

[!] --proto -p proto protocol: by number or name, eg. `tcp'

[!] --source    -s address[/mask][...]         source specification

[!] --destination -d address[/mask][...]         destination specification

[!] --in-interface -i input name[+]         network interface name ([+] for wildcard)

    --jump            -j target         target for rule (may load target extension)

    --goto            -g chain                                jump to chain with no return

   --match   -m match         extended match (may load extension)

   --numeric   -n                                numeric output of addresses and ports

[!] --out-interface -o output name[+]         network interface name ([+] for wildcard)

  --table           -t table                                table to manipulate (default: `filter')

  --verbose   -v                                verbose mode

  --line-numbers                                print line numbers when listing

  --exact          -x                                expand numbers (display exact values)

[!] --fragment  -f                                match second or further fragments only

  --modprobe=<command>                try to insert modules using this command

  --set-counters PKTS BYTES                set the counter during insert/append

[!] --version -V                                print package version.

 

來自爲知筆記(Wiz)