linux系统防火墙iptables命令规则及配置的示例

linux系统防火墙iptables命令规则及配置的示例（本机IP为172.16.63.7）：

1、允许172.16网段内的主机访问：

#iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.63.7 -j ACCEPT

译：-t表，默认filter -A追加规则 INPUT进入 -s检查源 -d检查目标 -j处理动作 ACCEPT接受；入栈的目标是本机所以-d是本机IP；

2、以数值格式显示详细信息，列出表中链上的规则：

#iptables -vnL 

pkts bytes译：XXX报文，XXXXX个字节

3、以数值格式显示详细信息，列出表中链上的规则，并数字标记规则条数：

#iptables -vnL --line-numbers

4、拒绝172.16.63.66主机访问（目前172.16.63.66可以ping通本机，也可以ssh等）：

#iptables -t filter -A INPUT -s 172.16.63.66 -d 172.16.63.7 -j REJECT

注：如果你操作过第一个，那么此时设置完后，发现172.16.63.66依旧可以ping进来，原来是我们刚才已经添加了允许172.16网段访问的规则，所以此规则是后添加的，所以不生效。同一服务规则，小范围放上面，次序很重要。

如果是多个不同的服务，规则排序要根据实际情况，例如web服务每天访问量巨大，而禁止某IP服务属于小范围，如果把某IP禁止服务放在前面，每次web服务都要先检查次IP，所以应该把匹配性较大的规则放在前面。

5、删除刚才添加的“允许172.16网段访问的”规则：

#iptables -D INPUT 1 

注：需要先-vnL --line-numbers查询下，此规则属于第几条，这里第一条则删除第一条。

6、清空规则;

#iptables -F

注：当前策略一定要是ACCEPT，不然会被阻断（你可以试试），任何清空删除规则前，都要保证自己不会被阻断！！！

7、插入一条规则，不让172.16.63.66的主机访问本机：

#iptables -I INPUT -s 172.16.63.66 -d 172.16.63.7 -j REJECT

注：默认插入第一条，如果插入第二条，则：#iptables -I INPUT 2 -s 172.16.63.66 -d 172.16.63.7 -j REJECT

注：这样172.16.63.66进行ping本机时，会直接提示拒绝，当然这样是不友好的（就是拒绝你，呵呵...），所以我们一般建议使用DROP直接丢弃。

#iptables -I INPUT -s 172.16.63.66 -d 172.16.63.7 -j DROP

8、替换第一条规则，不让172.16.63.77的主机访问本机：

#iptables -R INPUT 1 -s 172.16.63.77 -d 172.16.63.7 -j DROP

9、放行本机上的ssh：

#iptables -A INPUT -s 172.16.0.0/16 -d 172.16.63.7 -p tcp --dport 22 -j ACCEPT

#iptables -A OUTPUT -d 172.16.0.0/16 -s 172.16.63.7 -p tcp --sport 22 -j ACCEPT

#iptables -p INPUT DROP

#iptables -p OUTPUT DROP

#iptables -p FORWARD DROP

如果此时还要允许本机ping其它（其它主机不写，表示全部）:

#iptables -A OUTPUT -s 172.16.63.7 -p icmp --icmp-type 8 -j ACCEPT 允许ping其他了，但只放出了，进不来

#iptables -A INPUT -d 172.16.63.7 -p icmp --icmp-type 0 -j ACCEPT 所以还要开放进入的

如果此时也要允许其他主机ping本机：

#iptables -A INPUT -d 172.16.63.7 -p icmp --icmp-type 8 -j ACCEPT 8是回显请求

#iptables -A OUTPUT -s 172.16.63.7 -p icmp --icmp-type 0 -j ACCEPT 0是回显应答，此时其他主机也可以ping通本机

注意：此时如果直接使用#iptables -F清空，清空后的后果你懂得，呵呵呵...

所以此时我们要清空规则，则：

#iptables -p OUTPUT ACCEPT

#iptables -p INPUT ACCEPT

#iptables -p FORWARD ACCEPT

#iptables -F

10、iptables只开启ssh、web、telnet访问

先确定ss -lnt端口是否都已打开。

iptables -A INPUT -d 172.16.63.7 -p tcp -m multiport --dports 22:23,80 -j ACCEPT 连续的端口可用:表示XX端口到XX端口

iptables -A OUTPUT -s 172.16.63.7 -p tcp -m multiport --sports 22:23,80 -j ACCEPT

iptables -A INPUT -d 172.16.63.7 -j DROP

iptables -A OUTPUT -s 172.16.63.7 -j DROP

11、（根据上面继续来做）指定ip地址范围可以访问本机mysql

iptables -I INPUT 2 -d 172.16.63.7 -p tcp --dport 3306 -m iprange --src-range 172.16.63.70-172.16.63.100 -j ACCEPT

iptables -I OUTPUT 2 -s 172.16.63.7 -p tcp --sport 3306 -m iprange --dst-range 172.16.63.70-172.16.63.100 -j ACCEPT

mysql 本机添加一个mysql测试

GRANT ALL ON . TO 'root'@'%' IDENTIFIED BY 'whsir';

使用172.16.63.70-172.16.63.100之间的一个主机访问下试试：

mysql -uroot -h172.16.63.7 -pwuhao 可以连接上，没问题
12、（接上面操作）本机html内添加admin字符串，禁止网段内的IP不能访问带admin字符串的页面，但是可以访问其他页面

iptables -I OUTPUT -s 172.16.63.7 -p tcp --sport 80 -m iprange ! --dst-range 172.16.63.70-172.16.63.100 -m string --string "admin" --algo kmp -j REJECT 限制172.16.63.70-172.16.63.100网段

13、仅允许周2、4、6，9点到18点访问本机telnet

iptables -I INPUT -d 172.16.63.7 -p tcp --dport 23 -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays Tue,Thu,Sat -j ACCEPT

14、限制客户端对本机telnet服务并发连接数小于等于3

iptables -A INPUT -d 172.16.63.7 -p tcp --dport 23 -m connlimit --connlimit-upto 3 -j ACCEPT 同一主机最大同时能连接3个

iptables -A INPUT -d 172.16.63.7 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -d 172.16.63.7 -j DROP

iptables -A OUTPUT -s 172.16.63.7 -j DROP

15、允许客户端对本机连续ping5个包，然后每三秒钟ping一个

iptables -I INPUT -d 172.16.63.7 -p icmp --icmp-type 8 -m limit --limit-burst 5 --limit 20/minute -j ACCEPT

每分钟ping20个，也就是3秒一个，这样可以防止客户端对本机的大量ping操作