iptables学习（2）

Iptables 的基本配置，首先我们可以先把原有的清空

# iptables –F

# iptables –X

 

设定INPUT、OUTPUT的默认策略为DROP，FORWARD为ACCEPT

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD ACCEPT

 

打开“回环”（自己机器可以访问自己的资源）

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

 

打开所有网卡上面的ping功能，便于维护和检测

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 –j ACCEPT

iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT

 

以打开22端口为例子：

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT

指定了管理机器IP必须是250，并且必须从eth0网卡进入

 

iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT

 

允许 192.168.100.0/24 网段的机器发送数据包从 eth0 网卡进入。如果数据包是 tcp 协议，

而且目的端口是 3128（因为 REDIRECT 已经把 80 改为 3128 了。nat 表的 PREROUTING

是在 filter 表的 INPUT 前面的。）的，再而且，数据包的状态必须是 NEW 或者 ESTABLISHED

的（NEW 代表 tcp 三段式握手的“第一握”，换句话说就是，允许客户端机器向服务器发出链接

申请。ESTABLISHED 表示通过握手已经建立起链接），通过。