本文詳細介紹Linux IPTABLES filter表防火墻規則的查看、添加及刪除的方法，配置Linux服務器時常常用到。

查看本機關于IPTABLES的設置情況

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

可以看出我在安裝linux時，選擇了有防火墻，并且開放了22,80,25端口。如果你在安裝linux時沒有選擇啟動防火墻，是這樣的：

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么規則都沒有。

iptables語法

iptables(選項)(參數)

選項

-t<表>：指定要操縱的表；
-A：向規則鏈中添加條目；
-D：從規則鏈中刪除條目；
-i：向規則鏈中插入條目；
-R：替換規則鏈中的條目；
-L：顯示規則鏈中已有的條目；
-F：清楚規則鏈中已有的條目；
-Z：清空規則鏈中的數據包計算器和字節計數器；
-N：創建新的用戶自定義規則鏈；
-P：定義規則鏈中的默認目標；
-h：顯示幫助信息；
-p：指定要匹配的數據包協議類型；
-s：指定要匹配的數據包源ip地址；
-j<目標>：指定要跳轉的目標；
-i<網絡接口>：指定數據包進入本機的網絡接口；
-o<網絡接口>：指定數據包要離開本機所使用的網絡接口。

iptables命令選項輸入順序

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動作

表名包括：

• raw：高級功能，如：網址過濾。
• mangle：數據包修改（QOS），用于實現服務質量。
• net：地址轉換，用于網關路由器。
• filter：包過濾，用于防火墻規則。

規則鏈名包括：

• INPUT鏈：處理輸入數據包。
• OUTPUT鏈：處理輸出數據包。
• PORWARD鏈：處理轉發數據包。
• PREROUTING鏈：用于目標地址轉換（DNAT）。
• POSTOUTING鏈：用于源地址轉換（SNAT）。

動作包括：

• accept：接收數據包。
• DROP：丟棄數據包。
• REDIRECT：重定向、映射、透明代理。
• SNAT：源地址轉換。
• DNAT：目標地址轉換。
• MASQUERADE：IP偽裝（NAT），用于ADSL。
• LOG：日志記錄。

清除iptables原有規則

不管你在安裝linux時是否啟動了防火墻，如果你想配置屬于自己的防火墻，那就清除現在filter的所有規則。

[root@tp ~]# iptables -F (清除預設表filter中的所有規則鏈的規則)
[root@tp ~]# iptables -X (清除預設表filter中使用者自定鏈中的規則)

我們再來看一下：

[root@tp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

什么都沒有了吧，和我們在安裝linux時沒有啟動防火墻是一樣的。（注意：這些配置就像用命令配置IP一樣，重啟就會失去作用，怎么保存？）

[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣就可以寫到/etc/sysconfig/iptables文件里了，寫入后還要把防火墻重啟一下，才能起作用。

[root@tp ~]# service iptables restart

iptables常用命令

service iptables start #啟動
service iptables restart #重啟
service iptables save #保存
service iptables stop #停止
service iptables status #查詢狀態

現在IPTABLES配置表里什么配置都沒有了，那我們開始我們的配置吧。

設定預設規則

[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP

上面的意思是，不符合(INPUT、FORWARD)這兩個規則里的數據包就作DROP(放棄)處理，這是控制流入數據包的安全配置。而不符合(OUTPUT)這條規則的數據包就作ACCEPT(通過)處理，這是控制流出數據包的安全配置。

可以看出INPUT，FORWARD兩個鏈采用的是允許什么包通過，而OUTPUT鏈采用的是不允許什么包通過。這樣設置還是挺合理的，當然你也可以三個鏈都DROP，但這樣做我認為是沒有必要的，而且要寫的規則就會增加，但如果你只想要有限的幾個規則時，如只做WEB服務器，還是推薦三個鏈都是DROP。

特別注意：如果你是遠程SSH登陸來操作的話，當你輸入上述第一個命令iptables -p INPUT DROP，回車的時候就會自動退出遠程，因為你還沒有設置任何規則。所以務必先別設定預設規則，要添加完規則之后，再去設定預設規則。一旦被迫退出遠程怎么辦？如果是云主機，一般可以在管理后臺通過VNC登錄到服務器。不行的話，唯有聯系服務商處理了。

添加iptables規則

首先添加INPUT鏈，INPUT鏈的默認規則是DROP，所以我們就寫需要ACCETP(通過)的鏈。

為了能采用遠程SSH登陸，我們要開啟22端口。

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

注意：如果你把預設規則OUTPUT設置成DROP的話iptables -p OUTPUT DROP，就要寫上下面這條規則（好多人因為沒有寫這一條規則，導致始終無法SSH）：

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

其他的端口也一樣，如果開啟了web服務器，OUTPUT設置成DROP的話，同樣也要添加一條規則：

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

如果做了WEB服務器，開啟80端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

如果做了郵件服務器,開啟25、110端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

如果做了FTP服務器，開啟20、21端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服務器，開啟53端口：

[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

如果你還做了其他的服務器，需要開啟哪個端口，照寫就行了。

上面主要寫的都是INPUT規則，凡是不在上面的規則里的，都作DROP(不通過)處理。

允許icmp包通過，也就是允許ping：

[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT設置成DROP的話)

允許loopback!(不然會導致DNS無法正常關閉等問題)：

IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)

下面寫OUTPUT鏈，OUTPUT鏈默認規則是ACCEPT，所以我們就寫需要DROP(放棄)的鏈。

減少不安全的端口連：

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

有些木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務。既然合法服務都不使用這些非標準端口來通信，阻塞這些端口能夠有效地減少你的網絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會。

還有其他端口也一樣，像31335、27444、27665、20034 NetBus、9704、137-139（smb）、2049(NFS)端口也應被禁止，我在這寫的也不全，有興趣的朋友應該去查一下相關資料。

當然出于更安全的考慮你也可以把OUTPUT鏈設置成DROP，那你添加的規則就多一些，就像上邊添加允許SSH登陸一樣，照著寫就行了。

標簽: linux技術  防火墻  IPTABLES  服務器