-A : 在链末端添加一条 INPUT/OUTPUT/FORWARD 规则
-I : 在指定链中插入(insert)一条新的规则,默认在第一行添加
-p: 指tcp/udp协议 -j: 指定 ACCEPT\DROP\REJECT --dport : 指定目标端口,数据从外部进到指定端口就是目标端口 --sport : 指定源端口,数据从本地端口出去的就是源端口 -F(FLASH) : 清楚所有规则链规则 -X : 清楚自定义规则链中的所有规则 -D : 清楚规则链中的某个规则 -L : 查看规则链 -n : 只显示IP和端口号,不将IP解析为域名 -v : 显示详细信息,包括每条规则的匹配包数量和匹配字节数 -s : 指定源端IP-d : 指定目标IP
-m : multiport 指定多端口号 --sport --dport --ports
---查看所有规则并显示规则号 iptables -L -n --line ---关闭所有的规则链,只对允许的规则开放 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT ---保存规则,否则重启服务后还是原先设置 service iptables save 执行上述命令后,将保存规则在配置文件中 /etc/sysconfig/iptables ---允许访问80端口iptables -A INPUT -p tcp --dport 80 -j ACCEPT
---同时开放22,80端口
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
---开放6000-6500端口 iptables -A INPUT -p tcp -dport 6000:6500 -j ACCEPT ---开放某个网段(192.168.130.1-192.168.130.254)的访问 iptables -A INPUT -p all -s 192.168.130.0/24 -j ACCEPT ---删除chain为 INPUT中第5行的规则 iptables -D INPUT 5 ---禁用特定IP(192.168.130.140) 访问本机 iptables -A INPUT -p tcp -s 192.168.130.141 -j DROP ---清除预设表filter中的所有规则链的规则 iptables -F ---清除预设表filter中使用者自定链中的规则 iptables -X ---在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。 iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited