Iptables 的基本配置,首先我们可以先把原有的清空
# iptables –F # iptables –X
设定INPUT、OUTPUT的默认策略为DROP,FORWARD为ACCEPT
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT
打开“回环”(自己机器可以访问自己的资源)
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
打开所有网卡上面的ping功能,便于维护和检测
iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 –j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT
以打开22端口为例子:
iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT指定了管理机器IP必须是250,并且必须从eth0网卡进入
iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
允许 192.168.100.0/24 网段的机器发送数据包从 eth0 网卡进入。如果数据包是 tcp 协议,
而且目的端口是 3128(因为 REDIRECT 已经把 80 改为 3128 了。nat 表的 PREROUTING
是在 filter 表的 INPUT 前面的。)的,再而且,数据包的状态必须是 NEW 或者 ESTABLISHED
的(NEW 代表 tcp 三段式握手的“第一握”,换句话说就是,允许客户端机器向服务器发出链接
申请。ESTABLISHED 表示通过握手已经建立起链接),通过。
转载于:https://www.cnblogs.com/Qbright/archive/2012/07/10/2584119.html
