Linux防火墙iptables简易教程1.安装iptables2.查看现有的iptables规则3.删除某iptables规则4.清除现有iptables规则5.创建规则6.设置开机启动7.保存iptables规则8.iptables在手动防CC攻击中的简单应用1.安装iptables很多Linux已经默认安装iptables，可使用后文的查看命令测试是否安装CentOS/RedHat下执行：yuminstalliptablesDebian/Ubuntu下执行：apt-getinstalliptables2.查看现有的iptables规则命令后面的line-number为显示行号(将规则一则一则输出，并显示行号)，可选，方便后文的删除指令。iptables-L-n--line-numbers3.删除某iptables规则例如，删除第12行的规则，行号可由之前的命令查看iptables-DINPUT124.清除现有iptables规则iptables-Fiptables-Xiptables-Z5.创建规则a).开放端口命令iptables-AINPUT-jREJECT将屏蔽其他未授权的端口，因此请务必开放22端口以保障SSH连接正常~复制代码代码如下:#允许本机访问iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT#允许已建立的或相关连的通行iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT#允许所有本机向外的访问iptables-AOUTPUT-jACCEPT#允许访问22端口iptables-AINPUT-ptcp--dport22-jACCEPT#允许访问80端口iptables-AINPUT-ptcp--dport80-jACCEPT#允许FTP服务的21和20端口iptables-AINPUT-ptcp--dport21-jACCEPTiptables-AINPUT-ptcp--dport20-jACCEPT#如果有其他端口的话，规则也类似，稍微修改上述语句就行#禁止其他未允许的规则访问iptables-AINPUT-jREJECTiptables-AFORWARD-jREJECTb).屏蔽ipiptables-IINPUT-s123.123.123.123-jDROP可通过更换上述ip为ip段来达到屏蔽ip段的目的~若需屏蔽整个ip段(123.0.0.1到123.255.255.254)则换为123.0.0.0/8若需屏蔽ip段123.123.0.1到123.123.255.254，则换为124.123.0.0/16若需屏蔽ip段123.123.123.1到123.123.123.254则换为123.123.123.0/246.设置开机启动一般在安装iptables完成后，开机启动会自动设置成功，但在个别CentOS系统上，貌似还有些问题，可以使用如下命令手动设置chkconfig--level345iptableson7.保存iptables规则serviceiptablessave8.iptables在手动防CC攻击中的简单应用关于获取攻击者ip的方法，可以通过很多方法获取，如查看网站日志等，本文不再赘述。a).建立要屏蔽的ip/ip段文件，名为ip.txt#屏蔽的ip123.4.5.6#屏蔽的ip段(编写方法，同前文)123.4.5.6/24b).建立block_ip.sh脚本文件复制代码代码如下:#!/bin/sh#Filename:block_ip.sh#Purpose:blocksallIPaddress/networkfoundinatextfile#ThetextfilemusthaveoneIPaddressornetworkperline##################################################################Changethefollowingpath/filenametomatchyoursIP_LIST_FILE=/path/to/ip.txt##################################################################Don'tchangeanythingbelowunlessyouareasmartypant!#################################################################IPTABLES_BIN=/sbin/iptables#GettheIPaddress/networkfromthefileandignor