centos iptables 清空 centos镜像

Centos7 开启 iptables 日志

Netfilter/Iptables（简称Iptables）是Unix/Linux系统自带的优秀且完全免费的基于包过滤的防火墙工具，其功能强大，使用灵活，能够对流入、流出及流经服务器的数据包进行精细控制。

在实际生产环境中，有时可能需要对特定数据包进行过滤。然而，在复杂的网络环境中，可能出现收不到正常的数据报文的情况。这时，查看数据报文是否被Iptables过滤导致无法接收就显得尤为重要。

下面介绍如何开启Iptables日志，以进行数据报文情况的查看：

首先，在rsyslog.conf中添加配置：

# vim/etc/rsyslog.conf

在文件中添加以下行：

kern.*/var/log/iptables.log

随后重启日志配置：

# systemctl restart rsyslog.service

接着，若需让日志滚动，可在配置文件中添加如下行：

# vim/etc/logrotate.d/syslog

添加以下行：

/var/log/iptables

在Iptables配置中添加日志选项，以测试配置是否生效：

# iptables-A INPUT-j LOG--log-prefix"iptables"

检查日志文件是否生成：

# tailf/var/log/iptables.log

完成测试后，删除测试链：

# iptables-D INPUT-j LOG--log-prefix"iptables"

清空Iptables日志文件：

# echo"">/var/log/iptables.log

此方法能够帮助用户追踪数据包过滤情况，提高网络管理效率。

centos怎么上传文件

使用Vsftpd服务传输文件。

你可以配置一个vsftpd服务，具体步骤参考如下：

[root@linuxprobe~]# yum install vsftpd-y

Loaded plugins: langpacks, product-id, subscription-manager

………………省略部分输出信息………………

=

iptables防火墙管理工具中默认禁止了ftp传输协议的端口号，因此咱们在正式配置vsftpd服务程序前还需要清空一下iptables防火墙的默认策略，并将当前已经被清理的防火墙策略状态保存下来：

[root@linuxprobe~]# iptables-F

[root@linuxprobe~]# service iptables save

iptables: Saving firewall rules to/etc/sysconfig/iptables:[ OK ]

vsftpd服务程序的主配置文件(/etc/vsftpd/vsftpd.conf)中参数总共有123行左右，但大多数都是以#（井号）开头的注释信息，咱们可以用grep命令的-v参数来过滤并反选出没有包含#（井号）的参数行，也就是把所有的注释信息都过滤掉，这样再通过输出重定向符写会到原始的主配置文件名称中即可：

[root@linuxprobe~]# mv/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf_bak

[root@linuxprobe~]# grep-v"#"/etc/vsftpd/vsftpd.conf_bak>/etc/vsftpd/vsftpd.conf

[root@linuxprobe~]# cat/etc/vsftpd/vsftpd.conf

anonymous_enable=YES

l

刘遄老师给同学们整理出了vsftpd服务程序的主配置文件中常用的参数及作用介绍，您现在只要简单的浏览一下，接下来的实验中如果不明白再过来查阅就可以。

编辑

参数作用

listen=[YES|NO]是否以独立运行的方式监听服务。

listen_address=IP地址设置要监听的IP地址。

listen_port=21设置FTP服务的监听端口。

download_enable＝[YES|NO]是否允许下载文件。

userlist_enable=[YES|NO]

userlist_deny=[YES|NO]是否启用“禁止登陆用户名单”。

max_clients=0最大客户端连接数，0为不限制。

max_per_ip=0同一IP地址最大连接数，0位不限制。

anonymous_enable=[YES|NO]是否允许匿名用户访问。

anon_upload_enable=[YES|NO]是否允许匿名用户上传文件。

anon_umask=022匿名用户上传文件的umask值。

anon_root=/var/ftp匿名用户的FTP根目录。

anon_mkdir_write_enable=[YES|NO]是否允许匿名用户创建目录。

anon_other_write_enable=[YES|NO]是否开放匿名用户其他写入权限。

anon_max_rate=0匿名用户最大传输速率(字节)，0为不限制。

local_enable=[YES|NO]是否允许本地用户登陆FTP。

local_umask=022本地用户上传文件的umask值。

local_root=/var/ftp本地用户的FTP根目录。

chroot_local_user=[YES|NO]是否将用户权限禁锢在FTP目录，更加的安全。

local_max_rate=0本地用户最大传输速率(字节)，0为不限制。

11.2 Vsftpd服务程序

vsftpd作为更加安全的FTP文件传输协议的服务程序，可以让用户分别通过匿名开放、本地用户和虚拟用户三种身份验证方式来登陆到FTP服务器上面，匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登陆到FTP服务端主机，本地用户是通过Linux系统本地的帐号密码信息进行的验证模式，这种模式相比较匿名开放模式来说比较安全，配置起来也十分简单，不过如果被骇客暴力破解出FTP帐号信息，也就可以通过这个口令登陆到咱们的服务器系统中了，从而完全控制整台服务器主机，最后的虚拟用户是相比较最为安全的验证模式，需要为FTP传输服务单独建立用户数据库文件，虚拟出用来口令验证的帐户信息，这些帐号是在服务器系统中不存在的，仅供FTP传输服务做验证使用，因此这样即便骇客破解出了帐号口令密码后也无法登录到咱们的服务器主机上面，有效的降低了破坏范围和影响。

ftp命令是用来在命令行终端中对ftp传输服务进行控制连接的客户端工具，咱们需要先手动的安装一下这个ftp客户端工具，以便于接下来的实验中校验效果：

[root@linuxprobe~]# yum install ftp

Loaded plugins: langpacks, product-id, subscription-manager

………………省略部分输出信息………………

Installing:

ftp x86_64 0.17-66.el7 rhel 61 k

Transaction Summary

================================================================================

Install 1 Package

Total download size: 61 k

Installed size: 96 k

Is this ok [y/d/N]: y

Downloading packages:

Running transaction check

Running transaction test

Transaction test succeeded

Running transaction

Installing: ftp-0.17-66.el7.x86_64 1/1

Verifying: ftp-0.17-66.el7.x86_64 1/1

Installed:

ftp.x86_64 0:0.17-66.el7

Complete!

11.2.1匿名访问模式

vsftpd服务程序中匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登陆到FTP服务端主机，这种模式一般只用来保存不重要的公开文件，尤其是在生产环境中更要注意不放敏感文件，当然也非常推荐用咱们第八章中学习的防火墙管理工具（例如Tcp_wrappers）将vsftpd服务程序的允许访问主机范围设置为企业内网，这样还算能够保证基本的安全性。

vsftpd服务程序默认已经开启了匿名访问模式，咱们需要做的就是进一步允许匿名用户的上传、下载文件的权限，以及让匿名用户能够创建、删除、更名文件的权限，这些权限对于匿名用户来讲非常的危险，咱们只是为了练习Linux系统中vsftpd服务程序的配置能力，十分不推荐在生产环境中使用，匿名用户的权限参数及介绍：

编辑

参数作用

anonymous_enable=YES允许匿名访问模式。

anon_umask=022匿名用户上传文件的umask值。

anon_upload_enable=YES允许匿名用户上传文件

anon_mkdir_write_enable=YES允许匿名用户创建目录

anon_other_write_enable=YES允许匿名用户修改目录名或删除目录

[root@linuxprobe~]# vim/etc/vsftpd/vsftpd.conf

anonymous_enable=YES

anon_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

确认参数填写正确后保存并退出vsftpd服务程序的主配置文件，还需要重启vsftpd服务程序来让新的配置服务参数生效，并且同学们在生产环境中或者红帽RHCSA、RHCE、RHCA认证考试中也请记得一定要把配置过的服务程序加入到开机启动项中，以保证下次服务器重启后依然能够为用户正常提供ftp文件传输服务：

[root@linuxprobe~]# systemctl restart vsftpd

[root@linuxprobe~]# systemctl enable vsftpd

ln-s'/usr/lib/systemd/system/vsftpd.service''/etc/systemd/system/multi-user.target.wants/vsftpd.service

这样咱们就可以在客户端上面使用ftp命令连接到远程的FTP服务器上面了，FTP服务的匿名开放模式的帐号统一为anonymous，密码为空。匿名模式登陆到FTP服务器后默认所在位置为/var/ftp目录，咱们可以切换至里面的pub目录中，然后尝试创建一个新的目录文件来检验是否已经有了写入权限：

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

550 Permission denied.

刚刚咱们已经把iptables防火墙策略清空，而且也在vsftpd服务程序的主配置文件中添加了允许匿名用户创建目录和写入文件的权限，那么为什么还会被拒绝呢？建议同学们先不要往下面看，思考后用自己的方法尝试解决下这个问题，长期这样您的Linux系统排错能力就一定会练出来的。

回想起前面操作的细节，咱们FTP服务的匿名开放模式是默认登陆到了/var/ftp目录中，查看下这个目录的权限后才发现原来只有root管理员用户才有写入权限的，怪不得会提示写入出错呢，咱们只需要把目录的所有者身份改成系统帐户ftp即可，这样就应该可以了吧~

[root@linuxprobe~]# ls-ld/var/ftp/pub

drwxr-xr-x. 3 root root 16 Jul 13 14:38/var/ftp/pub

[root@linuxprobe~]# chown-Rf ftp/var/ftp/pub

[root@linuxprobe~]# ls-ld/var/ftp/pub

drwxr-xr-x. 3 ftp root 16 Jul 13 14:38/var/ftp/pub

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

550 Create directory operation failed.

又报错了!!此时再次使用ftp命令登入到FTP服务器主机后依然会提示写入操作失败，但细心的同学一定发现报错信息已经产生了变化，在刚刚没有写入权限的时候提示说权限拒绝（Permission denied.）所以咱们怀疑是权限的问题，但现在是提示创建目录的操作失败（Create directory operation failed.）那么咱们同学应该也能马上意识到是SELinux服务在限制这个操作了吧，查看下所有与ftp相关的SELinux域策略有那些吧：

[root@linuxprobe~]# getsebool-a| grep ftp

ftp_home_dir--> off

ftpd_anon_write--> off

ftpd_connect_all_unreserved--> off

ftpd_connect_db--> off

ftpd_full_access--> off

ftpd_use_cifs--> off

ftpd_use_fusefs--> off

ftpd_use_nfs--> off

ftpd_use_passive_mode--> off

httpd_can_connect_ftp--> off

httpd_enable_ftp_server--> off

sftpd_anon_write--> off

sftpd_enable_homedirs--> off

sftpd_full_access--> off

sftpd_write_ssh_home--> off

tftp_anon_write--> off

tftp_home_dir--> off

根据策略的名称和经验可以猜测出是哪一条规则策略，咱们在设置的时候请记得使用-P参数来让配置过的策略永久生效，保证在服务器重启后依然能够顺利写入文件，咱们可以分别尝试下创建目录文件、对文件进行改名以及删除目录文件等等操作。最后，恭喜同学们完成了这个实验课程，建议您在进行一次实验课程前还原虚拟机到最初始的状态，以免多个配置参数之间产生冲突。

[root@linuxprobe~]# setsebool-P ftpd_full_access=on

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

257"/pub/files" created

ftp> rename files database

350 Ready for RNTO.

250 Rename successful.

ftp> rmdir database

250 Remove directory operation successful.

ftp> exit

221 Goodbye.

11.2.2本地用户模式

本地用户模式是通过Linux系统本地的帐号密码信息进行的验证方式，这种模式相比较匿名开放模式来说比较安全，不过如果被骇客暴力破解出FTP帐号信息，也就可以通过这个口令登陆到咱们的服务器系统中了，从而完全控制整台服务器主机。本地用户模式配置起来十分简单，而且既然本地用户模式确实要比匿名开放模式更加的安全，因此推荐既然开启了本地用户模式，就把匿名开放模式给关闭了吧~咱们对本地用户模式需要使用的权限参数及介绍如下表：

编辑

参数作用

anonymous_enable=NO禁止匿名访问模式。

local_enable=YES允许本地用户模式。

write_enable=YES设置可写入权限。

local_umask=022本地用户模式创建文件的umask值。

userlist_deny=YES参数值为YES即禁止名单中的用户，参数值为NO则代表仅允许名单中的用户。

userlist_enable=YES允许“禁止登陆名单”，名单文件为ftpusers与user_list。

[root@linuxprobe~]# vim/etc/vsftpd/vsftpd.conf

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

当咱们确认参数信息已经填写正确就可以保存退出了，要想让新的配置参数生效还要记得重启一下vsftpd服务程序，并且在刚刚实验后还原了虚拟机的同学还请记得再把配置的服务加入到开机启动项中，让咱们的vsftpd服务程序在重启后依然能够正常使用。

[root@linuxprobe~]# systemctl restart vsftpd

[root@linuxprobe~]# systemctl enable vsftpd

ln-s'/usr/lib/systemd/system/vsftpd.service''/etc/systemd/system/multi-user.target.wants/vsftpd.service

按道理来说咱们现在就已经可以使用本地用户登陆到FTP服务器中了，但使用root用户登陆后会提示如下的错误信息：

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): root

530 Permission denied.

Login failed.

ftp>

在咱们输入root管理员用户的密码前就已经提示被拒绝了，看来有什么东西再禁止着用户登陆，这是因为咱们vsftpd服务程序目录中默认存在着两个文件（ftpusers或user_list），这两个文件叫做禁止用户名单，不知道同学们有没有看过一个叫做“死亡笔记”的日本电影，里面就提到有一个黑色封皮的小本本，任何人的名字写进去都会死亡，其实咱们在配置的这个vsftpd服务程序的禁止文件也有类似的功能，只要里面写有某个用户的名字，那么就不再允许这个用户登陆到咱们的FTP服务器上面。

具体步骤参考文档：，可以部署一个vsftpd服务

linux/unix -shell值iptables基础知识

原文参考：

iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables，因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables，你会觉得它很复杂，但是一旦你理解iptables的工作原理，你会发现其实它很简单。

首先介绍iptables的结构：iptables-> Tables-> Chains-> Rules.简单地讲，tables由chains组成，而chains又由rules组成。如下图所示。 [图片上传失败...(image-ba5408-1536195185275)]

图: IPTables Table, Chain, and Rule Structure

一、iptables的表与链

iptables具有Filter, NAT, Mangle, Raw四种内建表：

1. Filter表

Filter表示iptables的默认表，因此如果你没有自定义表，那么就默认使用filter表，它具有以下三种内建链：

2. NAT表

NAT表有三种内建链：

3. Mangle表

Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链：

4. Raw表

Raw表用于处理异常，它具有2个内建链：

5.小结

下图展示了iptables的三个内建表：

[图片上传失败...(image-753d8c-1536195185272)]

图: IPTables内建表

二、IPTABLES规则(Rules)

牢记以下三点式理解iptables规则的关键：

目标值（Target Values）

下面是你可以在target里指定的特殊值：

如果你执行iptables–list你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙，你可以看到，它显示了默认的filter表，以及表内默认的input链, forward链, output链。

Chain INPUT(policy ACCEPT)

target prot opt source destination

Chain FORWARD(policy ACCEPT)

target prot opt source destination

Chain OUTPUT(policy ACCEPT)

target prot opt source destination

查看mangle表：

查看NAT表：

查看RAW表：

!注意：如果不指定-t选项，就只会显示默认的 filter表。因此，以下两种命令形式是一个意思：

(or)

以下例子表明在filter表的input链, forward链, output链中存在规则：

Chain INPUT(policy ACCEPT)

num target prot opt source destination

1 RH-Firewall-1-INPUT all— 0.0.0.0/0 0.0.0.0/0

Chain FORWARD(policy ACCEPT)

num target prot opt source destination

1 RH-Firewall-1-INPUT all– 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT(policy ACCEPT)

num target prot opt source destination

Chain RH-Firewall-1-INPUT(2 references)

num target prot opt source destination

1 ACCEPT all– 0.0.0.0/0 0.0.0.0/0

2 ACCEPT icmp– 0.0.0.0/0 0.0.0.0/0 icmp type 255

3 ACCEPT esp– 0.0.0.0/0 0.0.0.0/0

4 ACCEPT ah– 0.0.0.0/0 0.0.0.0/0

5 ACCEPT udp– 0.0.0.0/0 224.0.0.251 udp dpt:5353

6 ACCEPT udp– 0.0.0.0/0 0.0.0.0/0 udp dpt:631

7 ACCEPT tcp– 0.0.0.0/0 0.0.0.0/0 tcp dpt:631

8 ACCEPT all– 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

9 ACCEPT tcp– 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

10 REJECT all– 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

以上输出包含下列字段：

三、清空所有iptables规则

在配置iptables之前，你通常需要用iptables–list命令或者iptables-save命令查看有无现存规则，因为有时需要删除现有的iptables规则：

iptables–flush

或者

iptables-F

这两条命令是等效的。但是并非执行后就万事大吉了。你仍然需要检查规则是不是真的清空了，因为有的linux发行版上这个命令不会清除NAT表中的规则，此时只能手动清除：

iptables-t NAT-F

四、永久生效

当你删除、添加规则后，这些更改并不能永久生效，这些规则很有可能在系统重启后恢复原样。为了让配置永久生效，根据平台的不同，具体操作也不同。下面进行简单介绍：

1.Ubuntu

首先，保存现有的规则：

iptables-save>/etc/iptables.rules

然后新建一个bash脚本，并保存到/etc/network/if-pre-up.d/目录下：

iptables-restore</etc/iptables.rules

这样，每次系统重启后iptables规则都会被自动加载。

！注意：不要尝试在.bashrc或者.profile中执行以上命令，因为用户通常不是root，而且这只能在登录时加载iptables规则。

2.CentOS, RedHat

service iptables save

service iptables stop

service iptables start

查看当前规则：

cat/etc/sysconfig/iptables

五、追加iptables规则

可以使用iptables-A命令追加新规则，其中-A表示 Append。因此，新的规则将追加到链尾。

一般而言，最后一条规则用于丢弃(DROP)所有数据包。如果你已经有这样的规则了，并且使用-A参数添加新规则，那么就是无用功。

1.语法

iptables-A chain firewall-rule

2.描述规则的基本参数

以下这些规则参数用于描述数据包的协议、源地址、目的地址、允许经过的网络接口，以及如何处理这些数据包。这些描述是对规则的基本描述。

-p协议（protocol）

-s源地址（source）

-d目的地址（destination）

-j执行目标（jump to target）

-i输入接口（input interface）

-o输出（out interface）

3.描述规则的扩展参数

对规则有了一个基本描述之后，有时候我们还希望指定端口、TCP标志、ICMP类型等内容。

–sport源端口（source port）针对-p tcp或者-p udp

–-dport目的端口（destination port）针对-p tcp或者-p udp

-–tcp-flags TCP标志针对-p tcp

-–icmp-type ICMP类型针对-p icmp

4.追加规则的完整实例：仅允许SSH服务

本例实现的规则将仅允许SSH数据包通过本地计算机，其他一切连接（包括ping）都将被拒绝。

iptables-F

iptables-A INPUT-i eth0-p tcp–dport 22-j ACCEPT

iptables-A INPUT-j DROP

六、更改默认策略

上例的例子仅对接收的数据包过滤，而对于要发送出去的数据包却没有任何限制。本节主要介绍如何更改链策略，以改变链的行为。

1.默认链策略

/!\警告：请勿在远程连接的服务器、虚拟机上测试！

当我们使用-L选项验证当前规则是发现，所有的链旁边都有 policy ACCEPT标注，这表明当前链的默认策略为ACCEPT：

Chain INPUT(policy ACCEPT)

target prot opt source destination

ACCEPT tcp– anywhere anywhere tcp dpt:ssh

DROP all– anywhere anywhere

Chain FORWARD(policy ACCEPT)

target prot opt source destination

Chain OUTPUT(policy ACCEPT)

target prot opt source destination

这种情况下，如果没有明确添加DROP规则，那么默认情况下将采用ACCEPT策略进行过滤。除非：

a)为以上三个链单独添加DROP规则：

iptables-A INPUT-j DROP

iptables-A OUTPUT-j DROP

iptables-A FORWARD-j DROP

b)更改默认策略：

iptables-P INPUT DROP

iptables-P OUTPUT DROP

iptables-P FORWARD DROP

糟糕！！如果你严格按照上一节的例子配置了iptables，并且现在使用的是SSH进行连接的，那么会话恐怕已经被迫终止了！

为什么呢？因为我们已经把OUTPUT链策略更改为DROP了。此时虽然服务器能接收数据，但是无法发送数据：

Chain INPUT(policy DROP)

target prot opt source destination

ACCEPT tcp– anywhere anywhere tcp dpt:ssh

DROP all– anywhere anywhere

Chain FORWARD(policy DROP)

target prot opt source destination

Chain OUTPUT(policy DROP)

target prot opt source destination

七、配置应用程序规则

尽管5.4节已经介绍了如何初步限制除SSH以外的其他连接，但是那是在链默认策略为ACCEPT的情况下实现的，并且没有对输出数据包进行限制。本节在上一节基础上，以SSH和HTTP所使用的端口为例，教大家如何在默认链策略为DROP的情况下，进行防火墙设置。在这里，我们将引进一种新的参数-m state，并检查数据包的状态字段。

1.SSH

iptables-A INPUT-i eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT

iptables-A OUTPUT-o eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT

如果服务器也需要使用SSH连接其他远程主机，则还需要增加以下配置：

iptables-A OUTPUT-o eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT

iptables-A INPUT-i eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT

2.HTTP

HTTP的配置与SSH类似：

iptables-A INPUT-i eth0-p tcp–dport 80-m state–state NEW,ESTABLISHED-j ACCEPT

iptables-A OUTPUT-o eth0-p tcp–sport 80-m state–state ESTABLISHED-j ACCEPT

3.完整的配置

iptables-F

iptables-P INPUT DROP

iptables-P FORWARD DROP

iptables-P OUTPUT DROP

iptables-A INPUT-i eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT

iptables-A OUTPUT-o eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT

iptables-A OUTPUT-o eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT

iptables-A INPUT-i eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT

iptables-A INPUT-i eth0-p tcp–dport 80-m state–state NEW,ESTABLISHED-j ACCEPT

iptables-A OUTPUT-o eth0-p tcp–sport 80-m state–state ESTABLISHED-j ACCEPT

References

[1] Linux Firewall Tutorial: IPTables Tables, Chains, Rules Fundamentals

[2] IPTables Flush: Delete/ Remove All Rules On RedHat and CentOS Linux

[3] Linux IPTables: How to Add Firewall Rules(With Allow SSH Example)

[4] Linux IPTables: Incoming and Outgoing Rule Examples(SSH and HTTP)

[5] 25 Most Frequently Used Linux IPTables Rules Examples

[6] man 8 iptables