iptables防火墙如何设置iptables防火墙设置方一，安装并启动防火墙[root@linux~]#/etc/init.d/iptablesstart当我们用iptables添加规则，保存后，这些规则以文件的形势存在磁盘上的，以CentOS为例，文件地址是/etc/sysconfig/iptables我们可以通过命令的方式去添加，修改，删除规则，也可以直接修改/etc/sysconfig/iptables这个文件就行了。1.加载模块/sbin/modprobeip_tables2.查看规则iptables-L-n-v3.设置规则#清除已经存在的规则iptables-Fiptables-Xiptables-Z#默认拒绝策略(尽量不要这样设置，虽然这样配置安全性高，但同时会拒绝包括lo环路在内的所#有网络接口，导致出现其他问题。建议只在外网接口上做相应的配置)iptables-PINPUTDROPiptables-POUTPUTDROPiptables-PFORWARDDROP#ssh规则iptables-tfilter-AINPUT-ieth0-ptcp–dport22-jACCEPTiptables-tfilter-AOUTPUT-oeth0-ptcp–sport22-jACCEPT#本地还回及tcp握手处理iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPTiptables-AINPUT-mstate–stateRELATED，ESTABLISHED-jACCEPT#www-dns规则iptables-IINPUT-ptcp–sport53-jACCEPTiptables-IINPUT-pudp–sport53-jACCEPTiptables-tfilter-AINPUT-ieth0-ptcp–dport80-jACCEPTiptables-tfilter-AOUTPUT-oeth0-ptcp–sport80-jACCEPT#ICMP规则iptables-AINPUT-picmp–icmp-typeecho-request-jACCEPTiptables-AINPUT-picmp–icmp-typeecho-reply-jACCEPTiptables-AOUTPUT-picmp–icmp-typeecho-request-jACCEPTiptables-AOUTPUT-picmp–icmp-typeecho-reply-jACCEPTiptables防火墙设置方二，添加防火墙规则1，添加filter表1.[root@linux~]#iptables-AINPUT-ptcp-mtcp--dport21-jACCEPT//开放21端口出口我都是开放的iptables-POUTPUTACCEPT，所以出口就没必要在去开放端口了。2，添加nat表1.[root@linux~]#iptables-tnat-APOSTROUTING-s192.168.10.0/24-jMASQUERADE将源地址是192.168.10.0/24的数据包进行地址伪装3，-A默认是插入到尾部的，可以-I来插入到指定位置1.[root@linux~]#iptables-IINPUT3-ptcp-mtcp--dport20-jACCEPT2.[root@linux~]#iptables-L-n--line-number3.ChainINPUT(policyDROP)4.numtargetprotoptsourcedestination5.1ACCEPTall--0.0.0.0/00.0.0.0/06.2DROPicmp--0.0.0.0/00.0.0.0/0icmptype87.3ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:20//-I指定位置插的8.4ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:229.5ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:8010.6ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED，ESTABLISHED11.7DROPall--0.0.0.0/00.0.0.0/0stateINVALID，NEW12.8ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:21//-A默认插到最后13.ChainFORWARD(policyACCEPT)14.numtargetprotoptsourcedestination15.ChainOUTPUT(policyACCEPT)16.numtargetprotoptsourcedestinationiptables防火墙