怎么使用Iptables初始化防火墻

netfilter/iptables（簡(jiǎn)稱(chēng)為iptables）組成Linux平臺(tái)下的包過(guò)濾防火墻，與大多數(shù)的Linux軟件一樣，這個(gè)包過(guò)濾防火墻是免費(fèi)的，它可以代替昂貴的商業(yè)防火墻解決方案，完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）等功能。

防火墻的初始化

廢話(huà)不多說(shuō)，先上一張表格：

清空默認(rèn)表（filter表）中的數(shù)據(jù)，只要簡(jiǎn)單的使用下面這條命令即可：

[root@localhost ~]# iptables -F

清除默認(rèn)表中INPUT鏈的規(guī)則，可使用下面的命令：

[root@localhost ~]# iptables -F INPUT

命令執(zhí)行完成后，使用iptables -L查看當(dāng)前防火墻設(shè)置。 給鏈設(shè)置默認(rèn)策略基本語(yǔ)法如下：

iptables -P archy target

其中archy是鏈的名稱(chēng)，target（目標(biāo)）用于定義策略。 filter表中共有9個(gè)不同的策略可供使用，但最常用的只有4個(gè)，分別包括：ACCEPT表示允許包通過(guò)；DROP丟棄一個(gè)包；REJECT會(huì)在丟棄的同時(shí)返回一條ICMP錯(cuò)誤消息；LOG則扮演了記事員的角色記錄包的信息。 通常對(duì)服務(wù)器而言，將所有鏈設(shè)置為DROP是一個(gè)不錯(cuò)的選擇，下面這條命令將所有的鏈的默認(rèn)策略設(shè)置為DROP：

[root@localhost ~]# iptables -P INPUT DROP

執(zhí)行完這條命令后，所有試圖同本機(jī)建立連接的努力都會(huì)失敗，因?yàn)樗袕摹巴獠俊钡竭_(dá)防火墻的包都會(huì)被丟棄，甚至連使用回環(huán)接口ping自己都不行。

添加規(guī)則

使用iptables -A命令添加鏈規(guī)則，命令基本語(yǔ)法如下：

iptables -A archy -i interface -j target

其中，archy代表鏈的名稱(chēng)，interface指定該規(guī)則用于哪個(gè)網(wǎng)絡(luò)接口，target用于定義策略。舉一個(gè)很簡(jiǎn)單的例子，下面這條命令就是添加一條INPUT鏈的規(guī)則，允許所有通過(guò)lo接口的鏈接請(qǐng)求：

[root@localhost ~]# iptables -A INPUT -i lo -p ALL -j ACCEPT

其余有關(guān)防火墻規(guī)則的設(shè)置相關(guān)選項(xiàng)，如下表：

刪除鏈規(guī)則

iptables提供了-D選項(xiàng)來(lái)刪除鏈規(guī)則，有兩種不同的語(yǔ)法用于刪除一條規(guī)則，這兒介紹最常用的方法：

首先使用帶–line-numbers選項(xiàng)的iptables -L命令查看鏈規(guī)則的編號(hào)，命令如下：

[root@localhost ~]# iptables -L --line-numbers

當(dāng)你查到規(guī)則編號(hào)后使用下面命令就可以刪除連規(guī)則：

[root@localhost ~]# iptables -D 18