Linux防火墙设置

1) 永久性生效，重启后不会复原

开启： chkconfig iptables on
关闭： chkconfig iptables off

2) 即时生效，重启后复原

开启： service iptables start
关闭： service iptables stop

iptables 脚本配置说明
cat /etc/sysconfig/iptables 文件，内容：

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter   开始处理 filter 表。
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]       定义一个自定义链，名称为RH-Firewall-1-INPUT。
-A INPUT -j RH-Firewall-1-INPUT    所有输入数据包都转到 RH-Firewall-1-INPUT 链处理。
-A FORWARD -j RH-Firewall-1-INPUT  所有转发数据包都转到 RH-Firewall-1-INPUT 链处理。
-A RH-Firewall-1-INPUT -i lo -j ACCEPT    接受由本地环回接口进入的所有数据包。
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT  接受由网络接口 eth0 进入的所有数据包。
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT  接受由网络接口 eth1 进入的所有数据包。
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT   接受所有 ICMP 协议的数据包。
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

    接受所有目标端口为 22 的 TCP 新连接数据包。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT  

    接受所有目标端口为 80 的 TCP 新连接数据包。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT 

    接受所有目标端口为 3306 的 TCP 新连接数据包。
#-A RH-Firewall-1-INPUT -s 61.15.11.210 -p tcp --dport 3306 -j ACCEPT

    接受61.15.11.210 端口为 3306 的 TCP 新连接数据包。
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited   

    其余数据包一律拒绝，并以 icmp-host-prohibited 数据包回应。
COMMIT

 

iptables 开关参数

--dport          指定目标TCP/IP端口号。
--icmp-type   允许指定ICMP报文的类型。
-j                   指定采取一个iptables动作。
--limit            设置一条指定报文的速率。如2/s=每秒两个。
-m                 查找数据中一个配额，可能是tcp或udp,或者一个条件限额。
-p                  查找数据中一个协议，如tcp或udp。
-s                  指定一个IP地址。
--dport          指定一个端口号。
--tcp-flags     查找一个TCP数据包中的标志。

 

iptables 动作

-j ACCEPT   允许指定特征相匹配的数据进入或者离开计算机。
-j DROP       阻止指定特征相匹配的数据进入或者离开计算机。
-j REJECT    阻止指定特征相匹配的数据进入或者离开计算机，并发送一条信息给源计算机。
-j LOG        把匹配数据包的记录记载到/var/log/messages文件中。