使用 /etc/init.d/iptables save  后

iptables配置文件发生变化

并生成iptables.save

vim iptables.save    【配置内容则是原来的】

save后才可以启动iptables

但是原来的配置参数还生效吗?

答案如下:

附加内容:

  1. 3.下面是很危险的操作,如果你第一步没做就会直接可能导致你连不上SSH,此步骤前切记执行第一步!!!
  2. iptables -P INPUT DROP
  3. iptables -P OUTPUT DROP
  4. iptables -P FORWARD DROP
  5. 这个步骤是把所有不符合自己配置的规则ACCEPT的连接全部DROP掉,执行完以后如果咱SSH还没掉,那么谢天谢地,安全了,重启下iptables后继续下面的配置!
  6. 4.下面咱就不细说了,具体就是看自己服务器要开放哪些端口或者是要访问哪些端口来做具体的配置,下面是我自己的机器的配置:
  7. /etc/sysconfig/iptables文件配置如下:
  8. # Generated by iptables-save v1.4.7 on Fri Mar  2 19:59:43 2012
  9. *filter
  10. :INPUT DROP [0:0]
  11. :FORWARD DROP [0:0]
  12. :OUTPUT DROP [8:496]
  13. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  14. #ping使用的端口
  15. -A INPUT -p icmp -j ACCEPT
  16. -A INPUT -i lo -j ACCEPT
  17. -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
  18. -A INPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT
  19. #允许服务器自己的SSH(对外部请求来说服务器是目标所以使用--dport)
  20. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
  21. #80端口不用说了吧,服务器网站访问端口
  22. -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
  23. -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
  24. -A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT
  25. -A INPUT -p tcp -m tcp --dport 11212 -j ACCEPT
  26. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
  27. #53端口是DNS相关,TCP和UDP都要配置
  28. -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
  29. -A INPUT -p udp -m udp --dport 53 -j ACCEPT
  30. #ping使用的端口
  31. -A OUTPUT -p icmp -j ACCEPT
  32. -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
  33. -A OUTPUT -s 192.168.2.200/32 -d 192.168.2.200/32 -j ACCEPT
  34. #允许服务器SSH到其他机器(使用外部端口就使用--dport)
  35. -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
  36. #允许服务器自己的SSH(自已为源输出就使用--sport)
  37. -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
  38. #访问外部网站80端口(使用外部端口就使用--dport)
  39. -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
  40. #如果服务器需要访问外部网站,那么OUTPUT也需要配置53端口(使用外部端口就使用--dport)
  41. -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
  42. -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
  43. #如果有访问外部邮箱,那么打开邮箱相关端口(使用外部端口就使用--dport)
  44. -A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
  45. -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
  46. -A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
  47. #服务器网站访问端口(自已为源输出就使用--sport)
  48. -A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT
  49. -A OUTPUT -p tcp -m tcp --sport 3306 -j ACCEPT
  50. -A OUTPUT -p tcp -m tcp --sport 11211 -j ACCEPT
  51. -A OUTPUT -p tcp -m tcp --sport 11212 -j ACCEPT
  52. COMMIT
  53. # Completed on Fri Mar  2 19:59:43 2012

5.可能有时候需要删除规则,最简单就是修改一下/etc/sysconfig/iptables然后service iptables restart,最后/etc/rc.d/init.d/iptables save即可。

当然也可以使用指令完成:

  1. 在网上找了一下,删除规则的方法:
  2. 语法是: iptables -D chain rulenum [options]
  3. 其中: chain 是链的意思,就是INPUT FORWARD 之类的
  4. rulenum 是规则的编号。从1 开始。可以使用  --line-numbers 列出规则的编号
  5. 所以,例如上面要删除一个INPUT链的规则的话可以这样:iptables -D INPUT 3
  6. 意思是删除第3条规则。
  7. 还有第二种方法。第二种办法是 -A 命令的映射,不过用-D替换-A。当你的链中规则很复杂,而你不想计算它们的编号的时候这就十分有用了。也就是说,你如何用iptables -A.... 语句定义了一个规则,则删除此规则时就用 -D 来代替- A  其余的都不变即可。
  8. ======================
  9. 说一下上面的 --line-numbers 选项,如下面的命令:
  10. iptables -L INPUT --line-numbers   列出INPUT 链所有的规则
  11. num  target     prot opt source               destination
  12. 1    REJECT     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds reject-with icmp-port-unreachable
  13. 2    REJECT     tcp  --  anywhere             anywhere            tcp dpt:135 reject-with icmp-port-unreachable
  14. 3    REJECT     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn reject-with icmp-port-unreachable
  15. ...
  16. ...
  17. 删除指定行规则:
  18. [root@localhost rc.d]# iptables -D INPUT 4

6.最后补充一下,如果想针对某IP进行单独开放端口可以如下配置:

  1. 如果我需要对内网某机器单独开放mysql端口,应该如下配置:
  2. iptables -A INPUT -s 192.168.2.6 -p tcp -m tcp --dport 3306 -j ACCEPT
  3. iptables -A OUTPUT -s 192.168.2.6 -p tcp -m tcp --sport 3306 -j ACCEPT

7.彻底禁止某IP访问:

  1. #屏蔽单个IP的命令是
  2. iptables -I INPUT -s 123.45.6.7 -j DROP
  3. #封整个段即从123.0.0.1到123.255.255.254的命令
  4. iptables -I INPUT -s 123.0.0.0/8 -j DROP
  5. #封IP段即从123.45.0.1到123.45.255.254的命令
  6. iptables -I INPUT -s 124.45.0.0/16 -j DROP
  7. #封IP段即从123.45.6.1到123.45.6.254的命令是
  8. iptables -I INPUT -s 123.45.6.0/24 -j DROP
  9. 指令I是insert指令 但是该指令会insert在正确位置并不像A指令看你自己的排序位置,因此用屏蔽因为必须在一开始就要加载屏蔽IP,所以必须使用I命令加载,然后注意执行/etc/rc.d/init.d/iptables save进行保存后重启服务即可

来源:http://www.linuxidc.com/Linux/2012-03/56066.htm

防火墙启动失败,提示最后一行出错【COMMIT】的更多相关文章

  1. proftpd启动失败提示unable to determine IP address of “xxx.com”

    proftpd启动失败提示unable to determine IP address of “xxx.com”这种proftpd启动失败的原因是无法解析后面主机的IP地址,解决方法是在DNS列表中增 ...

  2. Tomcat启动失败 提示Server Tomcat v7.0 Server at localhost failed to start.六种解决方法

    Tomcat启动失败,提示Server Tomcat v7.0 Server at localhost failed to start 在一次查看自己以前写过的项目中,运行tomcat失败,出现如图提 ...

  3. windows下redis启动失败提示maxheap flag

    windows下redis启动失败 D:\redis>redis-server.exe redis.conf [] Oct ::39.789 # The Windows version of R ...

  4. SQL 2008 R2 启动失败 提示 请求失败或服务未及时响应

    为什么启动sql server 配置管理器出现请求失败或服务未及时响应_百度知道 http://zhidao.baidu.com/link?url=ElemzIan6I2CqJsd7-7uk5TV25 ...

  5. phpStudy启动失败提示:缺少VC9运行库

    镜像是官方2008 64位中文版 按照提示安装了VC9以后 软件依旧无法运行阿帕奇,提示缺少VC9运行库 这是因为:64位系统除了要装64位的运行库也要装32位的运行库 32位的VC9运行库下载:ht ...

  6. apache启动失败提示预期<IfModule>结果<IfModule>>

    经过反复查看httpd.conf文件,发现原因是启动了两遍<IfModule>,也就是出现内容重复标签重复曾经遇到类似的情况Apache2: Expected </> but ...

  7. docker 启动失败 Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details.

    CentOS7安装docker,安装成功后,启动失败 提示: 我们可以看到此处它提示是Failed to start Docker Application Container Engine. 于是在网 ...

  8. SQL Server(MSSQLSERVER)启动失败,提示“请求失败或服务未及时响应

    1.SQL Server(MSSQLSERVER)启动失败,提示“请求失败或服务未及时响应. --------------------------- SQL Server 配置管理器 -------- ...

  9. haproxy启动时提示失败

    haproxy启动时提示失败:[ALERT] 164/110030 (11606) : Starting proxy linuxyw.com: cannot bind socket 这个问题,其实就是 ...

随机推荐

  1. EasyRTMP+EasyRTSPClient实现的多路(支持断线重连)RTSP转RTMP直播推流工具

    本文转自EasyDarwin开源团队成员Kim的博客:http://blog.csdn.net/jinlong0603/article/details/73441405 介绍 EasyRTMP是Eas ...

  2. Nodejs操作MongoDB数据库示例

    //mongodb_demo.js /** cnpm install mongodb */ var MongoClient = require('mongodb').MongoClient; var ...

  3. Elasticsearch安装配置和测试

    官方教程:https://www.elastic.co/guide/en/elasticsearch/reference/master/_installation.html 中文教程:https:// ...

  4. web前端开发中的命名规范

      (一)主体 头:header 内容:content/container 尾:footer 导航:nav 侧栏:sidebar 栏目:column 页面外围控制整体布局宽度:wrapper 左右中: ...

  5. HDU 1374

    http://acm.hdu.edu.cn/showproblem.php?pid=1374 已知三点坐标,求三点确定的圆的周长 #include <iostream> #include ...

  6. Java面试题收集以及参考答案(100道)

    不积跬步无以至千里,这里会不断收集和更新Java基础相关的面试题,目前已收集100题. 1.什么是B/S架构?什么是C/S架构 B/S(Browser/Server),浏览器/服务器程序 C/S(Cl ...

  7. 程序设计入门-C语言基础知识-翁恺-第一周:简单的计算程序-详细笔记(一)

    目录 第一周:简单的计算程序 1.1 第一个程序 Hello World! 1.2 变量 1.3 计算 1.4 编程作业及课后讨论 第一周:简单的计算程序 1.1 第一个程序 Hello World! ...

  8. [转]MongoDB c++驱动安装与使用

    安装 获取源码:git clone https://github.com/mongodb/mongo-cxx-driver.git,解压 安装编译工具scons:yum install -y scon ...

  9. 框架重构:测试中的DateTime.Now

    存在的问题 DateTime.Now是C#语言中获取计算机的当前时间的代码: 但是,在对使用了DateTime.Now的方法进行测试时,由于计算机时间的实时性,期望值一直在变化.如:计算年龄. pub ...

  10. RabbitMQ Study

    python pika install: pip install pika Chinese rabbitmq doc: http://rabbitmq.mr-ping.com/PIKA lib doc ...