iptables初始化配置记录[centos6.6]

把自己的主机iptables重新配置了一遍，发现网上很多资料失效了，所以记录一个笔记

昨天上阿里云的主机发现多开了很多端口，检查iptables发现默认规则多了一行:
:INPUT ACCEPT [7:1000]
估计是系统自动升级CentOS6.6导致的，然后感觉iptables规则很乱，决定重新整理一下


首先按照网上的教程
iptables -F

然后果断出事了，哥用putty连的虚拟机，这个命令一下去SSH连接直接断掉了！！！当时汗就下来了，好在发现阿里云提供了Web端的远程连接，而且貌似是直接连上虚拟机系统的，不是基于SSH连接！顿时觉得碉堡了

于是从Web远程继续

iptables -X
service iptables save

iptables初始化完成

查看/etc/sysconfig/iptables文件，发现里面预置了3条
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5102:289777]
好吧我也不知道OUTPUT后面的端口号是个什么鬼

按照之前的教程执行
iptables -p INPUT DROP
但是失败，先把:INPUT后面改成DROP吧，禁止所有请求进入

是允许127.0.0.1内部的所有通讯
iptables -i lo -j ACCEPT

把ssh端口打开
iptables -A INPUT -p tcp --dprot 22 -j ACCEPT
service iptables save

然后可以重新打开本地的ssh工具继续配置了

这时候我发现yum,curl什么的工具全部用不了，ping任何ip也ping不通，dns也无法解析
因为服务器请求发出去后返回的包被拦截了，所以根据状态放行已建立的连接返回包

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

执行一下curl baidu.com发现已经ok了

然后就是从外部ping服务器还是ping不通的，因为服务器禁用了icmp包，放行
iptables -A INPUT -p icmp -j ACCEPT

基础配置已经完了，保存一下
service iptables save

最后如果还有什么http,ftp之类的端口再自行添加吧，命令参照开ssh端口的那一条就行，最后别忘了保存