1、關閉所有的 INPUT FORWARD OUTPUT 只對某些端口開放。

下面是命令實現：

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

再用命令 iptables -L -n 查看 是否設置好， 好看到全部 DROP 了

這樣的設置好了，我們只是臨時的， 重啟服務器還是會恢復原來沒有設置的狀態

還要使用 service iptables save 進行保存

看到信息 firewall rules 防火墻的規則 其實就是保存在 /etc/sysconfig/iptables

可以打開文件查看 vi /etc/sysconfig/iptables

2、下面我只打開22端口，看我是如何操作的，就是下面2個語句

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

再查看下 iptables -L -n 是否添加上去, 看到添加了

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22

現在Linux服務器只打開了22端口，用putty.exe測試一下是否可以鏈接上去。

可以鏈接上去了，說明沒有問題。

最后別忘記了保存 對防火墻的設置

通過命令：service iptables save 進行保存

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

針對這2條命令進行一些講解吧

-A 參數就看成是添加一條 INPUT 的規則

-p 指定是什么協議 我們常用的tcp 協議，當然也有udp 例如53端口的DNS

到時我們要配置DNS用到53端口 大家就會發現使用udp協議的

而 --dport 就是目標端口 當數據從外部進入服務器為目標端口

反之 數據從服務器出去 則為數據源端口 使用 --sport

-j 就是指定是 ACCEPT 接收 或者 DROP 不接收

3、禁止某個IP訪問

1臺Linux服務器,2臺windows xp 操作系統進行訪問
Linux服務器ip 192.168.1.99
xp1 ip: 192.168.1.2
xp2 ip: 192.168.1.8

下面看看我2臺xp 都可以訪問的

192.168.1.2  這是 xp1 可以訪問的，
192.168.1.8 xp2 也是可以正常訪問的。

那么現在我要禁止 192.168.1.2 xp1 訪問， xp2 正常訪問，

下面看看演示

通過命令 iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP

這里意思就是 -A 就是添加新的規則， 怎樣的規則呢？ 由于我們訪問網站使用tcp的，我們就用 -p tcp , 如果是 udp 就寫udp，這里就用tcp了， -s就是 來源的意思，ip來源于 192.168.1.2 ，-j 怎么做 我們拒絕它 這里應該是 DROP