(1)清空所有的规则,用户自定义链以及计数器。
[root@192 ~]# iptables -F[root@192 ~]# iptables -X[root@192 ~]# iptables -Z(2)将默认规则设置为DROP
先设置ssh相关数据为ACCEPT:
//两种使用一种就可以[root@192 ~]# iptables -A INPUT -p tcp -s 192.168.40.0/24 -j ACCEPT[root@192 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT(3)设置允许本机lo通信规则
iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT [root@192 ~]# iptables -nvLChain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 93 6776 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 23 packets, 2408 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0(4) 将默认规则设置为DROP
[root@192 ~]# iptables -P INPUT DROP[root@192 ~]# iptables -P FORWARD DROP[root@192 ~]# iptables -P OUTPUT ACCEPT [root@192 ~]# iptables -P INPUT DROP[root@192 ~]# iptables -P FORWARD DROP[root@192 ~]# iptables -P OUTPUT ACCEPT[root@192 ~]# iptables -nvLChain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 340 25040 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 32 packets, 3232 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0(5)开启信任的IP网段
#setting Lan access rules#允许IDC LAN/WAN和办公网IP的访问,及对外合作机构访问iptables -A INPUT -s 124. 43.62. 96/27 -p all -j ACCEPT //办公室固定IP段。iptables -A INPUT -s 192. 168. 1.0/24 -p all -j ACCEPT //IDC机房的内网网段。iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT //其他机房的内网网段。iptables -A INPUT -s 203. 83. 24. 0/24 -P all -j ACCEPT //DC机房的外网网段。iptables -A INPUT -s 201. 82.34. 0/24 -P all -j ACCEPT //其它IDC机房的外网网段。提示:本步骤表示允许IDC LAN和办公网IP的无条件连接访问,因为是我们自己“人”,所以要信任通过
但是,对于外部用户还无法访问服务器的任何服务。好,我们继续!
(6)允许业务服务端口对外访问(允许http服务无条件通过)
[root@192 ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT(7)允许icmp类型协议通过
[root@192 ~]# iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT(7)允许关联的包通过
[root@192 ~]# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT[root@192 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(8) 以上规则配置好后,还没有记录在磁盘中,重启服务器就会丢失,需要将这些配置保存在磁盘中,有两种方法。
方法一:
#将防火墙规则保存在 /etc/sysconfig/iptables当中/etc/init.d/iptables save 方法二:
iptables -save >/etc/sysconfig/iptables 自动部署防火墙 将所有的规则放在一个.sh文件
生产环境iptables脚本讲解 问题:企业硬件防火墙和iptables防火墙是否要同时使用?
解决:可以同时使用。企业硬件防护墙一般放在网关位置,相当于大厦保安,但是,楼里的每个屋子还需要有人或者锁门的(iptables)。