概述

今天主要分享下關於Linux服務器上iptables一些常用的命令和生產環境的一些配置，下面一起來看看吧！

當前iptables的配置情況

iptables -L -n

清除默認的防火牆規則

#首先在清除前要將policy INPUT改成ACCEPT,表示接受一切請求。

#這個一定要先做，不然清空後可能會悲劇

iptables -P INPUT ACCEPT

#清空默認所有規則

iptables -F

#清空自定義的所有規則

iptables -X

#計數器置0

iptables -Z

配置防火牆規則

#允許來自於lo接口的數據包

#如果沒有此規則，你將不能通過127.0.0.1訪問本地服務，例如ping 127.0.0.1

iptables -A INPUT -i lo -j ACCEPT

#ssh端口22

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#FTP端口21

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#web服務端口80

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#tomcat

iptables -A INPUT -p tcp --dport xxxx -j ACCEPT

#mysql

iptables -A INPUT -p tcp --dport xxxx -j ACCEPT

#允許icmp包通過,也就是允許ping

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#允許所有對外請求的返回包

#本機對外請求相當於OUTPUT,對於返回數據包必須接收啊，這相當於INPUT了

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

#如果要添加內網ip信任（接受其所有TCP請求）

iptables -A INPUT -p tcp -s 172.26.150.1-j ACCEPT

#過濾所有非以上規則的請求

iptables -P INPUT DROP

#要封停一個IP，使用下面這條命令：

iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一個IP，使用下面這條命令:

iptables -D INPUT -s ***.***.***.*** -j DROP

保存配置

首先iptables -L -n看一下配置是否正確，沒問題後，先不要急着保存，因為沒保存只是當前有效，重啟後就不生效，這樣萬一有什麼問題，可以後台強制重啟服務器恢復設置。

另外開一個ssh連接，確保可以登陸，確保沒問題之後保存

#保存

service iptables save

#添加到自啟動chkconfig

chkconfig iptables on

修改防火牆端口：修改/etc/sysconfig/iptables 文件

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT 
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT 
iptables -A INPUT -p tcp -s 10.26.211.183 -j ACCEPT
iptables -A INPUT -p tcp -s 10.26.211.184 -j ACCEPT

覺得有用的朋友多幫忙轉發哦！後面會分享更多devops和DBA方面的內容，感興趣的朋友可以關注下~