<p>linux下IPTABLES设置详解<br /> 我们来设置一个filter表的防火墙<br /> 1. 查看本机关于IPTABLES的设置情况<br /> [root@tp ~]# iptables -L -n<br /> Chain INPUT (policy ACCEPT)<br /> target prot opt source destination<br /> Chain FORWARD (policy ACCEPT)<br /> target prot opt source destination<br /> Chain OUTPUT (policy ACCEPT)<br /> target prot opt source destination<br /> Chain RH-Firewall-1-INPUT (0 references)<br /> target prot opt source destination<br /> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0<br /> ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255<br /> ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0<br /> ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0<br /> ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353<br /> ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631<br /> ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED<br /> ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22<br /> ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80<br /> ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25<br /> REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited<br /> 能看出我在安装linux时，选择了有防火墙，并且开放了22，80，25端口。<br /> 如果你在安装linux时没有选择启动防火墙，是这样的<br /> [root@tp ~]# iptables -L -n<br /> Chain INPUT (policy ACCEPT)<br /> target prot opt source destination<br /> Chain FORWARD (policy ACCEPT)<br /> target prot opt source destination<br /> Chain OUTPUT (policy ACCEPT)<br /> target prot opt source destination<br /> 什么规则都没有.<br /> 2. 清除原有规则<br /> 不管你在安装linux时是否启动了防火墙，如果你想设置属于自己的防火墙，那就清除目前filter的所有规则.<br /> [root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则<br /> [root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则<br /> 我们在来看一下<br /> [root@tp ~]# iptables -L -n<br /> Chain INPUT (policy ACCEPT)<br /> target prot opt source destination<br /> Chain FORWARD (policy ACCEPT)<br /> target prot opt source destination<br /> Chain OUTPUT (policy ACCEPT)<br /> target prot opt source destination<br /> 什么都没有了吧，和我们在安装linux时没有启动防火墙是相同的.(提前说一句，这些设置就像用命令设置IP相同，重起就会失去作用)，怎么保存.<br /> [root@tp ~]# /etc/rc.d/init.d/iptables save<br /> 这样就能写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下，才能起作用.<br /> [root@tp ~]# service iptables restart<br /> 目前IPTABLES设置表里什么设置都没有了，那我们开始我们的设置吧<br /> 3. 设定预设规则<br /> [root@tp ~]# iptables -p INPUT DROP<br /> [root@tp ~]# iptables -p OUTPUT ACCEPT<br /> [root@tp ~]# iptables -p FORWARD DROP<br /> 上面的意思是，当超出了IPTABLES里filter表里的两个链规则(INPUT，FORWARD)时，不在这两个规则里的数据包怎么处理呢，那就是DROP(放弃).应该说这样设置是非常安全的.我们要控制流入数据包<br /> 而对于OUTPUT链，也就是流出的包我们不用做太多限制，而是采取ACCEPT，也就是说，不在着个规则里的包怎么办呢，那就是通过.<br /> 能看出INPUT，FORWARD两个链采用的是允许什么包通过，而OUTPUT链采用的是不允许什么包通过.<br /> 这样设置还是挺合理的，当然你也能三个链都DROP，但这样做我认为是没有必要的，而且要写的规则就会增加.但如果你只想要有限的几个规则是，如只做WEB服务器.还是推荐三个链都是DROP.<br /> 注:如果你是远程SSH登陆的话，当你输入第一个命令回车的时候就应该掉了.因为你没有设置所有规则.<br /> 怎么办，去本机操作呗!<br /> 4. 添加规则<br /> 首先添加INPUT链，INPUT链的默认规则是DROP，所以我们就写需要ACCETP(通过)的链<br /> 为了能采用远程SSH登陆，我们要开启22端口.<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT<br /> [root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT<br /> (注:这个规则，如果你把OUTPUT 设置成DROP的就要写上这一部，好多人都是望了写这一部规则导致，始终无法SSH.在远程一下，是不是好了.<br /> 其他的端口也相同，如果开启了web服务器，OUTPUT设置成DROP的话，同样也要添加一条链:<br /> [root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ，其他同理.)<br /> 如果做了WEB服务器，开启80端口.<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT<br /> 如果做了邮件服务器，开启25，110端口.<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT<br /> 如果做了FTP服务器，开启21端口<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT<br /> 如果做了DNS服务器，开启53端口<br /> [root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT<br /> 如果你还做了其他的服务器，需要开启哪个端口，照写就行了<br /> 上面主要写的都是INPUT链，凡是不在上面的规则里的，都DROP。<br /> 允许icmp包通过，也就是允许ping，<br /> [root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP)<br /> [root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP)<br /> 允许loopback!(不然会导致DNS无法正常关闭等问题)<br /> IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)<br /> 直接执行命令：/etc/init.d/iptables stop 关闭防火墙<br /> <!--EndFragment--><br /> </p>