Centos下lnmp正确iptables配置规则

查看iptable运行状态

service iptables status

清除已有规则

iptables -F
iptables -X
iptables -Z

开放端口

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许本地访问MySQL3306端口，禁止外部访问
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#允许安全宝监控的udp 161端口
iptables
-I INPUT -p udp -s 60.195.252.107 --dport 161 -j ACCEPT;iptables -I
INPUT -p udp -s 60.195.252.110 --dport 161 -j ACCEPT;iptables -I INPUT
-p udp -s 127.0.0.1 --dport 161 -j ACCEPT;iptables -I INPUT -p udp -s
45.63.121.42 --dport 161 -j ACCEPT;iptables -I INPUT -p udp -s
192.168.1.2 --dport 161 -j ACCEPT
#如果有其他端口的话，规则也类似，稍微修改上述语句就行
#允许ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT  （注意：如果22端口未加入允许规则，SSH链接会直接断开。）
iptables -A FORWARD -j REJECT

查看已添加的iptables规则

iptables -L -n

将所有iptables以序号标记显示

iptables -L -n --line-numbers

删除INPUT里序号为3的规则

iptables -D INPUT 3

 

插入规则到指定的位置

iptables -I INPUT 1 -p tcp --sport 80 -j ACCEPT

保存规则
CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：

chkconfig --level 345 iptables on

保存

service iptables save

屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP