iptables的实际应用

注：部分内容来自书籍或者网络，如有侵权，请联系删除。

实际生产中建议使用iptables脚本管理访问控制规则，而非修改系统iptables文件（/etc/sysconfig/iptables），这样可以更加清晰的理解规则。

简单实践：

#!/bin/bash
#清除所有规则
iptables -F
#允许某些调用localhost的应用访问
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许从其他主机ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#允许从其他主机、网络设备发送MTU调整报文
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
#允许所有来源访问TCP80 443端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许x.x.x.x来源的IP访问tcp22端口
iptables -A INPUT -p tcp -s x.x.x.x --dport 22 -j ACCEPT
#允许x.x.x.x来源的IP访问udp161端口
iptables -A INPUT -p udp -s x.x.x.x --dport 161 -j ACCEPT
#禁止所有其他进站流量
iptables -A INPUT DROP
#允许本机响应前八条规则的数据包发出
iptables -A  OUTPUT -m state --state ESTABLISHED -j ACCEPT
#禁止本机主动发出外部连接
iptables -A OUTPUT -j DROP
#禁止本机转发数据包
iptables -A FORWARD -j DROP