【面向初学者】如何使用 iptables 命令应用/不应用访问限制

大家好！我是系统解决方案部门的Shimeji。
加入公司已经三个月了，但我仍然有很多不懂的地方。
不过，我的前辈同事们都非常友善，每天都会给我各种各样的“指点”。
我真的非常感谢大家。

今天我想简要解释一下如何在 CentOS 6 中使用 iptables 命令来限制访问。

什么是iptables？

这是Linux中实现的包过滤器，
也就是我们常说的防火墙。
它是一种可以限制或允许特定访问的功能。
简而言之，

• 我们不允许不良人员进入。
• 我们欢迎好心人的帮助。

就是这样！
操作 iptables 的命令就是 iptables 命令！
顾名思义，它的作用就是控制 iptables 的运行。

使用iptables进行限制

首先，请看下文。

[root@localhost vagrant]# iptables -L Chain INPUT (policy ACCEPT) target prot opt ​​source destination Chain FORWARD (policy ACCEPT) target prot opt ​​source destination Chain OUTPUT (policy ACCEPT) target prot opt ​​source destination

以上是执行 [iptables -L] 命令的结果。

你可以看到它从上到下分为三个字段。依次是：
[INPUT] 是输入，[FORWARD] 是转发，[OUTPUT] 是输出链。
你可以把链想象成检查数据包的规则。

查看“链输入”旁边的内容。
你会看到（策略 ACCEPT）。
这被策略称为
策略是一条适用于整个链的规则。ACCEPT
表示允许所有输入。

相反，如果您想限制其传播，请将其更改为 DROP。
命令如下：

iptables -P 输入丢弃

没关系！
（注意：您将无法再连接到您自己的 SSH 网络。请先执行下面列出的 iptables 命令以允许访问。）

让我们用命令 [iptables -L] 来检查一下！

[root@localhost vagrant]# iptables -L Chain INPUT (policy DROP) target prot opt ​​source destination Chain FORWARD (policy ACCEPT) target prot opt ​​source destination Chain OUTPUT (policy ACCEPT) target prot opt ​​source destination

它已更改为 DROP。

现在您已限制所有外部访问！

使用iptables允许访问

请见下方。

[root@localhost vagrant]# iptables -L Chain INPUT (policy DROP) target prot opt ​​source destination ACCEPT all -- 192.168.33.1 anywhere Chain FORWARD (policy ACCEPT) target prot opt ​​source destination Chain OUTPUT (policy ACCEPT) target prot opt ​​source destination

【接受所有来电 -- 192.168.33.1 任何地址】

这种描述方式越来越常见了！
这意味着“允许来自 192.168.33.1 的所有访问”。
这规则被称为

要添加允许访问的规则，请运行以下命令：

iptables -A INPUT -s [允许访问的 IP 地址] -j ACCEPT

现在您可以阻止所有访问，并允许来自特定 IP 地址的访问。

顺便一提，也可以将其设置为“允许访问特定端口”。

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

此命令允许访问 80 端口（Web 服务器）。
您可以通过更改 `--dport` 后面的数字来更改端口！

这些设置更改将在重启机器后恢复到原始状态。
如果您想使设置永久生效，

iptables 服务保存

使用以下命令保存设置：

这种禁止所有访问而只允许特定访问的方法
“白名单方法”。称为

概括

这是一个非常粗略且简明的解释，但这就是使用 iptables 命令的基本方法。
还有其他不使用 iptables 命令的配置方法，以及更详细的配置方法，但这里暂且略过。

请使用iptables命令，享受更美好的电脑体验！