如何使用iptables命令为Linux系统配置防火墙

　　通常系统都有自带防火墙，防火墙的存在让系统的安全有了保障，下面小编要给大家介绍的是如何使用iptables命令为Linux系统配置防火墙，一起来学习下吧。

　　通过本教程操作，请确认您能使用linux本机。如果您使用的是ssh远程，而又不能直接操作本机，那么建议您慎重，慎重，再慎重！

　　我们来配置一个filter表的防火墙。

　　（1）查看本机关于IPTABLES的设置情况

　　代码如下：

　　［root@tp ~］# iptables -L -n

　　Chain INPUT （policy ACCEPT）

　　target prot opt source destination《/p》 《p》Chain FORWARD （policy ACCEPT）

　　target prot opt source destination《/p》 《p》Chain OUTPUT （policy ACCEPT）

　　target prot opt source destination《/p》 《p》Chain RH-Firewall-1-INPUT （0 references）

　　target prot opt source destination

　　ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

　　ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

　　ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0

　　ACCEPTah--0.0.0.0/00.0.0.0/0

　　ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353

　　ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631

　　ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED，ESTABLISHED

　　ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22

　　ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80

　　ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25

　　REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited

　　可以看出我在安装linux时，选择了有防火墙，并且开放了22，80，25端口。

　　如果你在安装linux时没有选择启动防火墙，是这样的

　　代码如下：

　　［root@tp ~］# iptables -L -n

　　Chain INPUT （policy ACCEPT）

　　target prot opt source destination 《/p》 《p》Chain FORWARD （policy ACCEPT）

　　target prot opt source destination 《/p》 《p》Chain OUTPUT （policy ACCEPT）

　　target prot opt source destination

　　什么规则都没有。

　　（2）清除原有规则。

　　不管你在安装linux时是否启动了防火墙，如果你想配置属于自己的防火墙，那就清除现在filter的所有规则。

　　代码如下：

　　［root@tp ~］# iptables -F 清除预设表filter中的所有规则链的规则

　　［root@tp ~］# iptables -X 清除预设表filter中使用者自定链中的规则

　　我们在来看一下

　　代码如下：

　　［root@tp ~］# iptables -L -n

　　Chain INPUT （policy ACCEPT）

　　target prot opt source destination 《/p》 《p》Chain FORWARD （policy ACCEPT）

　　target prot opt source destination 《/p》 《p》Chain OUTPUT （policy ACCEPT）

　　target prot opt source destination

　　什么都没有了吧，和我们在安装linux时没有启动防火墙是一样的。（提前说一句，这些配置就像用命令配置IP一样，重起就会失去作用），怎么保存。

　　代码如下：

　　［root@tp ~］# /etc/rc.d/init.d/iptables save

　　这样就可以写到/etc/sysconfig/iptables文件里了。写入后记得把防火墙重起一下，才能起作用。

　　代码如下：

　　［root@tp ~］# service iptables restart

　　现在IPTABLES配置表里什么配置都没有了，那我们开始我们的配置吧

　　（3）设定预设规则

　　代码如下：

　　［root@tp ~］# iptables -P INPUT DROP

　　［root@tp ~］# iptables -P OUTPUT ACCEPT

　　［root@tp ~］# iptables -P FORWARD DROP

　　上面的意思是，当超出了IPTABLES里filter表里的两个链规则（INPUT，FORWARD）时，不在这两个规则里的数据包怎么处理呢，那就是DROP（放弃）。应该说这样配置是很安全的。我们要控制流入数据包

　　而对于OUTPUT链，也就是流出的包我们不用做太多限制，而是采取ACCEPT，也就是说，不在着个规则里的包怎么办呢，那就是通过。

　　可以看出INPUT，FORWARD两个链采用的是允许什么包通过，而OUTPUT链采用的是不允许什么包通过。

　　这样设置还是挺合理的，当然你也可以三个链都DROP，但这样做我认为是没有必要的，而且要写的规则就会增加。但如果你只想要有限的几个规则是，如只做WEB服务器。还是推荐三个链都是DROP.

　　注：如果你是远程SSH登陆的话，当你输入第一个命令回车的时候就应该掉了。因为你没有设置任何规则。

　　怎么办，去本机操作呗！