1、安装iptables
[root@template-host ~]# yum install -y iptables iptables-services
2、拷贝原始配置文件
[root@server1 pub]# cp /etc/sysconfig/iptables{,.bak}
2、设置iptables规则
[root@localhost ~]# iptables -F #清除所有规则 [root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@localhost ~]# iptables -A INPUT -i lo -j ACCEPT
[root@localhost ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT #允许内网任何访问,该命令权限比较大,要做相应范围设置 例如 [root@server1 ~]# iptables -t filter -I INPUT -m iprange --src-range 172.16.1.180-172.16.1.190 -j REJECT #设置内网可以访问的IP段 [root@server1 ~]#iptables -I INPUT -p tcp --dport=3306 -j DROP #禁用相应端口
[root@localhost ~]# iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT [root@localhost ~]# iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT [root@localhost ~]# iptables -A INPUT -p tcp --syn --dport 20:21 -j ACCEPT #添加需要的端口
或
[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m multiport --dports 20,21,22,25,80,110 -j ACCEPT #添加需要的端口
日志
[root@localhost ~]#iptables -t filter -D INPUT -p tcp --syn --dport 22 -j LOG --log-prefix "localhost_ssh" #如果需要可以开启对应端口日志
[root@localhost ~]# iptables -A INPUT -j REJECT #拒绝其他所有连接 [root@localhost ~]# modprobe nf_conntrack_ftp [root@localhost ~]# iptables-save > /etc/sysconfig/iptables [root@localhost ~]# vim /etc/sysconfig/iptables-config IPTABLES_MODULES="nf_conntrack_ftp"