防火墙IPTABLES

--服务重启
/etc/init.d/iptables stop
/etc/init.d/iptables start

--查看防火墙配置
# iptables -L -n

# iptables -L -nv

--新加的策略加载第5,6条
iptables  -I   INPUT   5  -p tcp  --dport 23  -s  192.168.2.0/24  -j ACCEPT 
iptables  -I   INPUT   6  -p tcp  --dport 23  -j  DROP

--修改后保存
/etc/init.d/iptables save  

--删除第六条策略
iptables -D INPUT 6

iptables -F     清空所有规则
参数∶
-F ∶清除所有的已订定的规则；
-X ∶杀掉所有使用者 '自订' 的 chain (应该说的是 tables ）棉；
-Z ∶将所有的 chain 的计数与流量统计都归零

iptables -I  INPUT  7 -s 192.168.2.200 -j LOG

[root@rhel62 yum.repos.d]# iptables -I  INPUT  7 -s 192.168.2.200 -d 192.168.2.1 -p tcp --dport 12345 --sport 12346 -j LOG
[root@rhel62 yum.repos.d]# iptables -L -n    
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  192.168.2.0/24       0.0.0.0/0           tcp dpt:23
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:23
LOG        tcp  --  192.168.2.200        192.168.2.1         tcp spt:12346 dpt:12345 LOG flags 0 level 4
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

范例一∶想要连线进入本机 port 21 的封包都抵挡掉∶
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP

范例二∶想连到我这部主机的网 (upd port 137,138 tcp port 139,445) 就放行
[root@linux ~]# iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT


例如∶只要来自 192.168.1.0/24 的 1024:65535 埠口的封包， 只要想要连线到本机的 ssh port 就予以抵挡，可以这样做∶
[root@linux ~]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65534 --dport ssh -j DROP

注意啊！如果你有使用到 --sport 及 --dport 的参数时，就必须指定 udp 或 tcp 的封包格式才行！
否则的话， iptables 的指令就会出现如下的错误∶
[root@linux ~]# iptables -A INPUT -i eth0 --dport 21 -j DROP
iptables v1.2.11: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

范例∶将来自任何地方来源 port 1:1023 的主动连线到本机端的 1:1023 连线丢弃 -A 附加在table的后面
[root@linux ~]# iptables -A  INPUT -i eth0 -p tcp --sport 1:1023  --dport 1:1023 --syn -j DROP