linux iptable配置

首先如果是使用的雲伺服器，比如阿裡雲或者是騰訊雲的。先去控制台将對應的接口放行，我這邊配置的是放行所有端口用于測試，如果是生産環境可以根據需要放行。

通過本操作，請确認您能使用Linux本機。如果您使用的是ssh遠端，而又不能直接操作本機，那麼先加上下面的代碼。當然最壞的結果是所有的端口都不能通路，甚至無法登陸ssh，但5分鐘之後，定時器會幫你關掉iptables防火牆。

[[email protected] ~]# crontab -uroot -e  

*/5 * * * * /etc/init.d/iptables stop  ##定時5分鐘關閉防火牆，防止設定錯誤，導緻無法進行ssh登陸

首先講介紹幾個簡單指令：

/etc/init.d/iptables save  ##儲存防火牆規則，如果不進行儲存的話 重新開機iptables之後規則将消失

iptables -L -n            ##檢視目前防火牆規則

PS：在添加規則之前先用iptables -L -n檢視一下目前規則，如果顯示沒有規則，可能是你的iptables沒有開啟。如果這個時候添加規則，儲存之後将覆寫之前的規則。如果要繼續使用之前的規則，先開啟iptables服務，這時候就能看到之前的規則，然後再在之前的基礎上添加。

我們先添加兩條規則

iptables -A INPUT -p tcp --dport 22 -j ACCEPT      ##添加一個開放端口22的輸入流的規則

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT    ##添加一個開放端口22的輸出流的規則

添加以上兩條規則之後，就不用擔心登陸不了SSH了，想了解指令詳情使用iptables --help

這裡重點講一下iptables 裡面的 dport 和 sport的差別：

dport：目的端口

sport：來源端口

通過兩個INPUT的例子，大家區分下INPUT裡面的dport 和sport

例子1：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

這條INPUT規則可以這麼描述：

        1.這是一條從外部進入内部本地伺服器的資料。

        2.資料包的目的（dport）位址是22，就是要通路我本地的22端口。

        3.允許以上的資料行為通過。

例子2：

1

iptables -A INPUT -p tcp --sport 22 -j ACCEPT

這條INPUT規則可以這麼描述：       

        1.這是一條從外部進入内部本地伺服器的資料。

        2.資料包的來源端口是（sport）22，就是對方的資料包是22端口發送過來的。

        3.允許以上資料行為。

通過兩個OUTPUT的例子，大家區分下OUTPUT裡面的dport 和sport

例子1：

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

這條OUTPUT規則可以這麼描述：       

        1.這是一條從内部出去的資料。

        2.出去的目的（dport）端口是22。

        3.允許以上資料行為。

例子2：

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

這條OUTPUT規則可以這麼描述：   

        1.這是一條從内部出去的資料。

        2.資料包的來源端口是（sport）22，從本伺服器的22端口發出資料。

        3.允許以上資料行為。

預設INPUT、OUTPUT、FORWARD都是ACCEPT的

不添加規則，則對所有端口的資料來者不拒~

iptables -P INPUT DROP  #如果沒有添加端口22的accept規則，切勿運作此指令

如果運作上述指令的話，則是除了添加的規則之外的INPUT資料包都DROP掉。。。

同理還有這些指令：

iptables -P OUTPUT  DROP

iptables -P FORWARD DROP

一般把INPUT設定為DROP。那麼我們需要添加一些規則針對INPUT的ACCEPT的規則：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT  #開放ssh端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT  #開放web服務端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT  #開放ftp服務端口

iptables -A INPUT -p icmp -j ACCEPT      #允許icmp包通過,也就是允許ping

iptables -A INPUT -i lo -p all -j ACCEPT  #允許loopback

#####如果你還做了其他的伺服器,需要開啟哪個端口,照寫就行了.

 一般把OUTPUT設定為ACCEPT。那麼我們需要添加一些規則針對OUTPUT的DROP規則：

關閉一些端口

iptables -A OUTPUT -p tcp --sport 27444 -j DROP  

iptables -A OUTPUT -p tcp --sport 27665 -j DROP

iptables -A OUTPUT -p tcp --sport 31337 -j DROP