iptables配置实例

（1）屏蔽所有端口（2）把SSH的缺省端口设置为56565（3）把56565、80、3306端口打开（4）把3306端口设置为只允许本机访问如果没有安装iptables的话，运行命令yuminstalliptables完成iptables安装初始化安装以后，显示为以下信息：[root@tp~]#iptables-L-nChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination（1）屏蔽所有端口[root@tp~]#iptables-F[root@tp~]#iptables-X[root@tp~]#iptables-PINPUTDROP[root@tp~]#iptables-POUTPUTDROP[root@tp~]#iptables-PFORWARDDROP当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃)，有同学喜欢配置OUTPUT为accpet，因为如果被***，对方可以使用服务器做为中转，发起***，也会产生大量的数据包，所以这里配置为DROP（2）把SSH的缺省端口设置为56565在修改ssh端口时，应先把要修改的端口号56565加入白名单[root@tp~]#iptables-AINPUT-ptcp--dport56565-jACCEPT[root@tp~]#iptables-AOUTPUT-ptcp--sport56565-jACCEPT[root@tp~]#/etc/rc.d/init.d/iptablessave[root@tp~]#serviceiptablesrestart再修改端口号[root@linux~]#vi/etc/ssh/sshd_config将"#Port22"修改为"Port56565"重启ssh服务[root@linux~]#/etc/init.d/sshdrestartStoppingsshd:[OK]Startingsshd:[OK]如果想看看sshd端口号是否修改成功的话，可以使用netstat-an命令查看一下或退出ssh使用新端口号登陆尝试。（3）把80端口打开[root@tp~]#iptables-AINPUT-ptcp--dport80-jACCEPT[root@tp~]#iptables-AOUTPUT-ptcp--sport80-jACCEPT[root@tp~]#/etc/rc.d/init.d/iptablessave[root@tp~]#serviceiptablesrestart（4）把3306端口设置为只允许本机访问[root@tp~]#/sbin/iptables-AINPUT-ptcp-s127.0.0.1--dport3306-jACCEPT[root@tp~]#/sbin/iptables-AOUTPUT-ptcp-s127.0.0.1--dport3306-jACCEPT