一、檢查iptables服務(wù)狀態(tài)

1、首先檢查iptables服務(wù)的狀態(tài)

[root@bogon ~]# service iptables status
iptables: Firewall is not running.
說明iptables服務(wù)是有安裝的，但是沒有啟動服務(wù)。

如果沒有安裝的話可以直接yum安裝
yum install -y iptables

2、啟動iptables

[root@bogon ~]# service iptables start
iptables: Applying firewall rules:                         [  OK  ]

3、查看當前iptables的配置情況

[root@woxplife ~]# iptables -L -n

二、清除默認的防火墻規(guī)則

#首先在清除前要將policy INPUT改成ACCEPT,表示接受一切請求。
iptables -P INPUT ACCEPT

#清空默認所有規(guī)則
iptables -F
 
#清空自定義的所有規(guī)則
iptables -X
 
#計數(shù)器置0
iptables -Z

三、配置規(guī)則

#允許來自于lo接口的數(shù)據(jù)包
#如果沒有此規(guī)則，你將不能通過127.0.0.1訪問本地服務(wù)，例如ping 127.0.0.1
iptables -A INPUT -i lo -j ACCEPT

#ssh端口22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
#FTP端口21
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
 
#web服務(wù)端口80
iptables -A INPUT -p tcp --dport 80 -j ACCEP
 
#tomcat
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
 
#mysql
iptables -A INPUT -p tcp --dport xxxx -j ACCEP
 
#允許icmp包通過,也就是允許ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
 
#允許所有對外請求的返回包
#本機對外請求相當于OUTPUT,對于返回數(shù)據(jù)包必須接收啊，這相當于INPUT了
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
 
#如果要添加內(nèi)網(wǎng)ip信任（接受其所有TCP請求）
iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT
 
#過濾所有非以上規(guī)則的請求
iptables -P INPUT DROP

四、保存

#保存
[root@woxplife ~]# service iptables save
 
#添加到自啟動chkconfig
[root@woxplife ~]# chkconfig iptables on