Update iptables.md

jaywcjlove · jaywcjlove · commit 43ea79b3973f · 2017-11-27T10:17:32.000+08:00
diff --git a/command/iptables.md b/command/iptables.md
@@ -12,11 +12,19 @@ Linux&#19978;&#24120;&#29992;&#30340;&#38450;&#28779;&#22681;&#36719;&#20214;
 - [&#34917;&#20805;&#35828;&#26126;](#&#34917;&#20805;&#35828;&#26126;)
   - [&#35821;&#27861;](#&#35821;&#27861;)
   - [&#36873;&#39033;](#&#36873;&#39033;)
+- [&#22522;&#26412;&#21442;&#25968;](#&#22522;&#26412;&#21442;&#25968;)
     - [&#21629;&#20196;&#36873;&#39033;&#36755;&#20837;&#39034;&#24207;](#&#21629;&#20196;&#36873;&#39033;&#36755;&#20837;&#39034;&#24207;)
     - [&#24037;&#20316;&#26426;&#21046;](#&#24037;&#20316;&#26426;&#21046;)
     - [&#38450;&#28779;&#22681;&#30340;&#31574;&#30053;](#&#38450;&#28779;&#22681;&#30340;&#31574;&#30053;)
     - [&#38450;&#28779;&#22681;&#30340;&#31574;&#30053;](#&#38450;&#28779;&#22681;&#30340;&#31574;&#30053;-1)
   - [&#23454;&#20363;](#&#23454;&#20363;)
+    - [&#31354;&#24403;&#21069;&#30340;&#25152;&#26377;&#35268;&#21017;&#21644;&#35745;&#25968;](#&#31354;&#24403;&#21069;&#30340;&#25152;&#26377;&#35268;&#21017;&#21644;&#35745;&#25968;)
+    - [&#37197;&#32622;&#20801;&#35768;ssh&#31471;&#21475;&#36830;&#25509;](#&#37197;&#32622;&#20801;&#35768;ssh&#31471;&#21475;&#36830;&#25509;)
+    - [&#20801;&#35768;&#26412;&#22320;&#22238;&#29615;&#22320;&#22336;&#21487;&#20197;&#27491;&#24120;&#20351;&#29992;](#&#20801;&#35768;&#26412;&#22320;&#22238;&#29615;&#22320;&#22336;&#21487;&#20197;&#27491;&#24120;&#20351;&#29992;)
+    - [&#35774;&#32622;&#40664;&#35748;&#30340;&#35268;&#21017;](#&#35774;&#32622;&#40664;&#35748;&#30340;&#35268;&#21017;)
+    - [&#37197;&#32622;&#30333;&#21517;&#21333;](#&#37197;&#32622;&#30333;&#21517;&#21333;)
+    - [&#24320;&#21551;&#30456;&#24212;&#30340;&#26381;&#21153;&#31471;&#21475;](#&#24320;&#21551;&#30456;&#24212;&#30340;&#26381;&#21153;&#31471;&#21475;)
+    - [&#20445;&#23384;&#35268;&#21017;&#21040;&#37197;&#32622;&#25991;&#20214;&#20013;](#&#20445;&#23384;&#35268;&#21017;&#21040;&#37197;&#32622;&#25991;&#20214;&#20013;)
     - [&#21015;&#20986;&#24050;&#35774;&#32622;&#30340;&#35268;&#21017;](#&#21015;&#20986;&#24050;&#35774;&#32622;&#30340;&#35268;&#21017;)
     - [&#28165;&#38500;&#24050;&#26377;&#35268;&#21017;](#&#28165;&#38500;&#24050;&#26377;&#35268;&#21017;)
     - [&#21024;&#38500;&#24050;&#28155;&#21152;&#30340;&#35268;&#21017;](#&#21024;&#38500;&#24050;&#28155;&#21152;&#30340;&#35268;&#21017;)
@@ -186,6 +194,61 @@ iptables&#36824;&#25903;&#25345;&#33258;&#24049;&#23450;&#20041;&#38142;&#12290;&#20294;&#26159;&#33258;&#24049;&#23450;&#20041;&#30340;&#38142;&#65292;&#24517;&#39035;&#26159;&#36319;&#26576;&#31181;
 
 ### &#23454;&#20363;  
 
+#### &#31354;&#24403;&#21069;&#30340;&#25152;&#26377;&#35268;&#21017;&#21644;&#35745;&#25968;
+
+```bash
+iptables -F  # &#28165;&#31354;&#25152;&#26377;&#30340;&#38450;&#28779;&#22681;&#35268;&#21017;
+iptables -X  # &#21024;&#38500;&#29992;&#25143;&#33258;&#23450;&#20041;&#30340;&#31354;&#38142;
+iptables -Z  # &#28165;&#31354;&#35745;&#25968;
+```
+
+#### &#37197;&#32622;&#20801;&#35768;ssh&#31471;&#21475;&#36830;&#25509;
+
+```bash
+iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT  
+# 22&#20026;&#20320;&#30340;ssh&#31471;&#21475;&#65292; -s 192.168.1.0/24&#34920;&#31034;&#20801;&#35768;&#36825;&#20010;&#32593;&#27573;&#30340;&#26426;&#22120;&#26469;&#36830;&#25509;&#65292;&#20854;&#23427;&#32593;&#27573;&#30340;ip&#22320;&#22336;&#26159;&#30331;&#38470;&#19981;&#20102;&#20320;&#30340;&#26426;&#22120;&#30340;&#12290; -j ACCEPT&#34920;&#31034;&#25509;&#21463;&#36825;&#26679;&#30340;&#35831;&#27714;
+```
+
+#### &#20801;&#35768;&#26412;&#22320;&#22238;&#29615;&#22320;&#22336;&#21487;&#20197;&#27491;&#24120;&#20351;&#29992;
+
+```bash
+iptables -A INPUT -i lo -j ACCEPT  
+#&#26412;&#22320;&#22278;&#29615;&#22320;&#22336;&#23601;&#26159;&#37027;&#20010;127.0.0.1&#65292;&#26159;&#26412;&#26426;&#19978;&#20351;&#29992;&#30340;,&#23427;&#36827;&#19982;&#20986;&#37117;&#35774;&#32622;&#20026;&#20801;&#35768;
+iptables -A OUTPUT -o lo -j ACCEPT
+```
+
+#### &#35774;&#32622;&#40664;&#35748;&#30340;&#35268;&#21017;
+
+```bash
+iptables -P INPUT DROP # &#37197;&#32622;&#40664;&#35748;&#30340;&#19981;&#35753;&#36827;
+iptables -P FORWARD DROP # &#40664;&#35748;&#30340;&#19981;&#20801;&#35768;&#36716;&#21457;
+iptables -P OUTPUT ACCEPT # &#40664;&#35748;&#30340;&#21487;&#20197;&#20986;&#21435;
+```
+
+#### &#37197;&#32622;&#30333;&#21517;&#21333;
+
+```bash
+iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT  # &#20801;&#35768;&#26426;&#25151;&#20869;&#32593;&#26426;&#22120;&#21487;&#20197;&#35775;&#38382;
+iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT  # &#20801;&#35768;&#26426;&#25151;&#20869;&#32593;&#26426;&#22120;&#21487;&#20197;&#35775;&#38382;
+iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # &#20801;&#35768;183.121.3.7&#35775;&#38382;&#26412;&#26426;&#30340;3380&#31471;&#21475;
+```
+
+#### &#24320;&#21551;&#30456;&#24212;&#30340;&#26381;&#21153;&#31471;&#21475;
+
+```bash
+iptables -A INPUT -p tcp --dport 80 -j ACCEPT # &#24320;&#21551;80&#31471;&#21475;&#65292;&#22240;&#20026;web&#23545;&#22806;&#37117;&#26159;&#36825;&#20010;&#31471;&#21475;
+iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # &#20801;&#35768;&#34987;ping
+iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # &#24050;&#32463;&#24314;&#31435;&#30340;&#36830;&#25509;&#24471;&#35753;&#23427;&#36827;&#26469;
+```
+
+#### &#20445;&#23384;&#35268;&#21017;&#21040;&#37197;&#32622;&#25991;&#20214;&#20013;
+
+```bash
+cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # &#20219;&#20309;&#25913;&#21160;&#20043;&#21069;&#20808;&#22791;&#20221;&#65292;&#35831;&#20445;&#25345;&#36825;&#19968;&#20248;&#31168;&#30340;&#20064;&#24815;
+iptables-save > /etc/sysconfig/iptables 
+cat /etc/sysconfig/iptables
+```
+
 #### &#21015;&#20986;&#24050;&#35774;&#32622;&#30340;&#35268;&#21017;
 
 > iptables -L [-t &#34920;&#21517;] [&#38142;&#21517;]

-Original file line number
+Diff line change
 - [补充说明](#补充说明)
   - [语法](#语法)
   - [选项](#选项)
 +- [基本参数](#基本参数)
     - [命令选项输入顺序](#命令选项输入顺序)
     - [工作机制](#工作机制)
     - [防火墙的策略](#防火墙的策略)
     - [防火墙的策略](#防火墙的策略-1)
   - [实例](#实例)
 +    - [空当前的所有规则和计数](#空当前的所有规则和计数)
 +    - [配置允许ssh端口连接](#配置允许ssh端口连接)
 +    - [允许本地回环地址可以正常使用](#允许本地回环地址可以正常使用)
 +    - [设置默认的规则](#设置默认的规则)
 +    - [配置白名单](#配置白名单)
 +    - [开启相应的服务端口](#开启相应的服务端口)
 +    - [保存规则到配置文件中](#保存规则到配置文件中)
     - [列出已设置的规则](#列出已设置的规则)
     - [清除已有规则](#清除已有规则)
     - [删除已添加的规则](#删除已添加的规则)
 ### 实例
 +#### 空当前的所有规则和计数
++
 +```bash
 +iptables -F  # 清空所有的防火墙规则
 +iptables -X  # 删除用户自定义的空链
 +iptables -Z  # 清空计数
 +```
++
 +#### 配置允许ssh端口连接
++
 +```bash
 +iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
 +# 22为你的ssh端口， -s 192.168.1.0/24表示允许这个网段的机器来连接，其它网段的ip地址是登陆不了你的机器的。 -j ACCEPT表示接受这样的请求
 +```
++
 +#### 允许本地回环地址可以正常使用
++
 +```bash
 +iptables -A INPUT -i lo -j ACCEPT
 +#本地圆环地址就是那个127.0.0.1，是本机上使用的,它进与出都设置为允许
 +iptables -A OUTPUT -o lo -j ACCEPT
 +```
++
 +#### 设置默认的规则
++
 +```bash
 +iptables -P INPUT DROP # 配置默认的不让进
 +iptables -P FORWARD DROP # 默认的不允许转发
 +iptables -P OUTPUT ACCEPT # 默认的可以出去
 +```
++
 +#### 配置白名单
++
 +```bash
 +iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT  # 允许机房内网机器可以访问
 +iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT  # 允许机房内网机器可以访问
 +iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # 允许183.121.3.7访问本机的3380端口
 +```
++
 +#### 开启相应的服务端口
++
 +```bash
 +iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开启80端口，因为web对外都是这个端口
 +iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允许被ping
 +iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来
 +```
++
 +#### 保存规则到配置文件中
++
 +```bash
 +cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份，请保持这一优秀的习惯
 +iptables-save > /etc/sysconfig/iptables
 +cat /etc/sysconfig/iptables
 +```
++
 #### 列出已设置的规则
 > iptables -L [-t 表名] [链名]