LINUX下的iptables

原帖：http://www.cnscn.org/read.php?tid-44684.html
iptables有三种链
1：INPUT (进来的链)
2：OUTPUT(出去的链)
3：FORWARD(转发的链)
iptables -A INPUT -p icmp -j DROP
-A(添加一个链) -p 协议 -j(添加动作) 说明添加一个进来的链。协议是icmp动作拒绝。
iptables -L -n (用树形结构来看一下iptables的设置)
iptables -F (清空iptables的设置) 后面也可以加上INPUT 或者是OUTPUT
iptables --help | more (察看iptables的帮助)
iptables -L -n --line-numbres(察看iptables规则的编号)
iptables -A INPUT -p tcp -d 192.168.0.123 --dport 21 -j DROP
这句话是拒绝到本机的21端口。可以分析到目的地址是本机的192.168.0.123
目的端口是本机的21的端口 -d(目的地址) --dport(目的端口)。
下面我们来做一个实验来讲一下具体的配置。
例：假如我们服务器想配置一个WEB服务器。我们为了日后的维护。还要把SSHD打开
1：首先把所有规则DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
P为大写
2 iptables -A INPUT -p tcp -d 192.168.0.123 --dport 22 -j ACCEPT
因为想要别人连我们的22 目的地址为本机的192.168.0.123 目的端口 22
3 iptables -A OUTPUT -p tcp -s 192.168.0.123 --sport 22 -j ACCEPT
我们还要给返回数据包那么源地址是本机的192.168.0.123 源端口22
4 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
外面通过INPUT链来访问本机的80端口，本机是目的地址 放开本机的IP和80端口
5 iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
本机还要返回数据包 ，通过OUTPUT链出去。源地址为本机 源端口为本机的80
6 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
还要把DNS放开，不然在DNS解析的时候会出现超时。做为客户端我们OUTPUT链出去
目的端口为udp的53 这里能解析服务器了。
7 iptables -A INPUT -p udp --sport 53 -j ACCEPT
对方接到包的时候返回包的时候INPUT的链进来 源地址端口为UDP 53
8 如果本机既是客户机又是服务器的时候。要加上
iptables -A INPUT -p udp --dport 53 -j ACCEPT
做为服务器能够解析INPUT进来的包 目的地址为53
iptables -A OUTPUT -P udp --sport 53 -j ACCEPT
做为服务器OUTPUT出去的包要经过源地址的 udp 53 端口
9 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  iptables -A OUTPUT -s 127.0.0.1 -d 127.