Iptables 的基本配置，首先我們可以先把原有的清空

# iptables –F# iptables –X

?

設(shè)定INPUT、OUTPUT的默認(rèn)策略為DROP，FORWARD為ACCEPT

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD ACCEPT

?

打開(kāi)“回環(huán)”（自己機(jī)器可以訪問(wèn)自己的資源）

iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT

?

打開(kāi)所有網(wǎng)卡上面的ping功能，便于維護(hù)和檢測(cè)

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 –j ACCEPTiptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT

?

以打開(kāi)22端口為例子：

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT

指定了管理機(jī)器IP必須是250，并且必須從eth0網(wǎng)卡進(jìn)入

?

iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT

?

允許 192.168.100.0/24 網(wǎng)段的機(jī)器發(fā)送數(shù)據(jù)包從 eth0 網(wǎng)卡進(jìn)入。如果數(shù)據(jù)包是 tcp 協(xié)議，

而且目的端口是 3128（因?yàn)?REDIRECT 已經(jīng)把 80 改為 3128 了。nat 表的 PREROUTING

是在 filter 表的 INPUT 前面的。）的，再而且，數(shù)據(jù)包的狀態(tài)必須是 NEW 或者 ESTABLISHED

的（NEW 代表 tcp 三段式握手的“第一握”，換句話(huà)說(shuō)就是，允許客戶(hù)端機(jī)器向服務(wù)器發(fā)出鏈接

申請(qǐng)。ESTABLISHED 表示通過(guò)握手已經(jīng)建立起鏈接），通過(guò)。

轉(zhuǎn)載于:https://www.cnblogs.com/Qbright/archive/2012/07/10/2584119.html

總結(jié)

以上是生活随笔為你收集整理的iptables学习（2）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。