#添加防火墙INPUT默认规则,将所有发送到INPUT列数据包DROP掉
$ipt -P INPUT DROP
#清除防火墙filter中所有规则
$ipt -t filter -F
#允许192.168.1.30主机向防火墙发送ICMP数据包
$ipt -t filter -A INPUT -p icmp -s 192.168.1.30 -d $Server -j ACCEPT
#允许192.168.1.0网段主机访问防火墙的web服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 80 -j ACCEPT
#允许192.168.1.0网段主机访问防火墙的ftp服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 21 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 20 -j ACCEPT
#允许192.168.1.0网段主机访问防火墙的email服务
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 443 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s $network -d $Server --dport 110 -j ACCEPT
#允许192.168.1.30主机对防火墙进行远程访问
$ipt -t filter -A INPUT -p tcp -s 192.168.1.30 -d $Server --dport 22 -j ACCEPT
$ipt -t filter -A INPUT -p tcp -s 192.168.1.30 -d $Server --dport 23 -j ACCEPT
#允许所有协议状态为ESTABLISHED,RELATED数据包通过
$ipt -t filter -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
查看访问规则
[root@linuxinfo ~]# iptables -t filter -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT icmp -- 192.168.1.30 linuxinfo
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:http
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:ftp
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:ftp-data
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:https
ACCEPT tcp -- 192.168.1.0/24 linuxinfo tcp dpt:pop3
ACCEPT tcp -- 192.168.1.30 linuxinfo tcp dpt:60000
ACCEPT tcp -- 192.168.1.30 linuxinfo tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination