1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。下面是命令实现：iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查看 是否设置好， 好看到全部 DROP 了这样的设置好了，我们只是临时的， 重启服务器还是会恢复原来没有设置的状态还要使用 service iptables save 进行保存看到信息 firewall rules 防火墙的规则 其实就是保存在 /etc/sysconfig/iptables可以打开文件查看 vi /etc/sysconfig/iptables2、下面我只打开22端口，看我是如何操作的，就是下面2个语句iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT再查看下 iptables -L -n 是否添加上去, 看到添加了Chain INPUT (policy DROP)target prot opt source destinationACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22Chain FORWARD (policy DROP)target prot opt source destinationChain OUTPUT (policy DROP)target prot opt source destinationACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22现在Linux服务器只打开了22端口，用putty.exe测试一下是否可以链接上去。可以链接上去了，说明没有问题。最后别忘记了保存 对防火墙的设置通过命令：service iptables save 进行保存iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT针对这2条命令进行一些讲解吧-A 参数就看成是添加一条 INPUT 的规则-p 指定是什么协议 我们常用的tcp 协议，当然也有udp 例如53端口的DNS到时我们要配置DNS用到53端口 大家就会发现使用udp协议的而 --dport 就是目标端口 当数据从外部进入服务器为目标端口反之 数据从服务器出去 则为数据源端口 使用 --sport-j 就是指定是 ACCEPT 接收 或者 DROP 不接收

Linux关闭iptables防火墙的方法如下：

通过iptables -F 清除防火墙关闭，并通过iptables -L查看，如图所示：

通过/etc/init.d/iptables stop命令停止并关闭iptables ，如图所示：

也可以使用 service iptables stop来停止并关闭iptables，如图所示：

如设置了自启动服务，需要查看系统自动启动的进程服务，如图所示：

通过查询之后，可以通过# chkconfig iptables off命令来设置自启动为关闭，或者通过# chkconfig --del iptables命令，移除开机自启动，如图所示：

利用图形界面的方法关闭防火墙，如图：

在图形界面中点击【防火墙配置】然后再点击关闭防火墙设置

是刷新dns缓存命令。

刷新dns缓存只需要通过用刷新dns缓存的命令即可刷新好。那么刷新dns缓存的命令是什么呢？就是【ipconfig /flushdns】。具体操作步骤如下：

步骤一、首先按住键盘win+R组合键，打开了一个运行窗口，之后在运行窗口上输入“CMD”命令，执行该命令即可打开命令提示符窗口了。如图所示：

步骤二、然后在命令提示符上线查看下你的电脑上的dns缓存的全部信息，输入“ipconfig /displaydns”即可查询dns缓存信息了。之后在输入“ipconfig /flushdns”命令敲回车键即可将你本机上的dns缓存清空了。当然如果你不信的话，可以重新输入“ipconfig /displaydns”查询dnd缓存就能知道是否清空了本机dns缓存信息了。如图所示：

以下是相关的命令补充：

运行:ipconfig /displaydns这个命令,查看一下本机已经缓存了那些的dns信息的,然后输入下面的命令 

ipconfig /flushdns 

这时本机的dns缓存信息已经清空了,我们可以再次输入第一次输入的命令来看一下, 

ipconfig /displaydns 

ipconfig /displaydns显示dns缓存 

ipconfig /flushdns 刷新DNS记录 

ipconfig /renew重请从DHCP服务器获得IP 

先可以输入ipconfig /displaydns显示dns缓存根据显示结果你可以很直观的看到现在你的DNS所指上的IP，然后运行ipconfig /flushdns 刷新DNS记录和ipconfig /renew重请从DHCP服务器获得IP就可以了，如果一次刷新没有用，可以多次用ipconfig /flushdns进行刷新 。

        mangle表的主要功能是根据规则修改数据包的一些标志位，以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。

         定义允许或者不允许的

        iptables -t filter -A INPUT -j DROP -p tcp --dport 8081

         过滤发往本机的8081端口的所有包被丢弃         用途：网络地址转换；修改目的端口或目的地址以及原地址

         iptables -t nat -A PREROUTING -p tcp --dport 7788 -j DNAT --to 192.168.0.11:7799

         iptables -t nat -A POSTROUTE -p tcp -d 192.168.0.11 --dport 7799 -j SNAT --to 192.168.0.12

1. “四表” 是指，iptables的功能——filter, nat, mangle, raw.

　　　　filter, 控制数据包是否允许进出及转发（INPUT、OUTPUT、FORWARD）,可以控制的链路有input, forward, output

　　　　nat, 控制数据包中地址转换，可以控制的链路有prerouting, input, output, postrouting

　　　　mangle,修改数据包中的原数据，可以控制的链路有prerouting, input, forward, output, postrouting

　　　　raw,控制nat表中连接追踪机制的启用状况，可以控制的链路有prerouting, output

　　注：在centos7中，还有security表，不过这里不作介绍2. “五链” 是指内核中控制网络的NetFilter定义的五个规则链，分别为

　　　　PREROUTING, 路由前

　　　　INPUT, 数据包流入口

　　　　FORWARD, 转发管卡

　　　　OUTPUT, 数据包出口

　　　　POSTROUTING, 路由后

3 .堵通策略 是指对数据包所做的操作，一般有两种操作——“通（ACCEPT）”、“堵（DROP）”，还有一种操作很常见REJECT.

谈谈REJECT和DROP之间的区别，Ming写了一封信，向Rose示爱。Rose如果不愿意接受，她可以不回应Ming,这个时候Ming不确定Rose是否接到了信；Rose也可以同样写一封信，在信中明确地拒绝Ming。前一种操作就如同执行了DROP操作，而后一种操作就如同REJECT操作。4.iptables命令的语法规则

iptables CRETIRIA -j ACTION

　　-t table，是指操作的表，filter、nat、mangle或raw, 默认使用filter

　　COMMAND，子命令，定义对规则的管理

　　chain, 指明链路

　　CRETIRIA, 匹配的条件或标准

　　ACTION,操作动作

　　例如，不允许10.8.0.0/16网络对80/tcp端口进行访问，

                iptables -t filter -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP

　　查看iptables列表

               iptables -nL5.链管理

　　-N, --new-chain chain：新建一个自定义的规则链；

　　-X, --delete-chain ：删除用户自定义的引用计数为0的空链；

　　-F, --flush ：清空指定的规则链上的规则；

　　-E, --rename-chain old-chain new-chain：重命名链；

　　-Z, --zero ：置零计数器；

　　-P, --policy chain target， 设置链路的默认策略6.规则管理

　　-A, --append chain rule-specification：追加新规则于指定链的尾部；

　　-I, --insert chain rule-specification：插入新规则于指定链的指定位置，默认为首部；

　　-R, --replace chain rulenum rule-specification：替换指定的规则为新的规则；

　　-D, --delete chain rulenum：根据规则编号删除规则；7.查看规则

　　-L, --list ：列出规则；

　　-v, --verbose：详细信息；

                      -vv， -vvv  更加详细的信息

　　-n, --numeric：数字格式显示主机地址和端口号；

　　-x, --exact：显示计数器的精确值；

　　--line-numbers：列出规则时，显示其在链上的相应的编号；

　　-S, --list-rules ：显示指定链的所有规则；

　　查看规则的一般内容：

iptables是linux系统下用来做防火墙的二进制文件（linux上位于/sbin/iptables，android中位于/system/bin/iptables），底层依赖于内核的netfilter模块，用来完成封包过滤、封包重定向和网络地址转换（NAT）等功能(在android上需要root使用)。

举个例子来简单看看iptables命令的基本用法。

意思是在nat转发表的OUTPUT输出链中增加这样一条规则：倘若OUTPUT输出链拦到了tcp请求，则将其重定向到本地的8123端口。

可以看到iptables中有 表 、 链 和 规则 的概念，那么先通过iptables传输数据包的过程来简单了解下表和链是什么以及他们之间的关系。

可以看到 链 就是对数据包传输路径的一种抽象，一个数据包根据其具体场景以固定的顺序依次经过PREROUTING、INPUT等各个链，在经过各个链时，又有不同的表在监听这个链，而nat、filter等 表 中有包含一系列的 规则 ，当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则。

值得注意的是，

至此我们了解了表、链和规则是什么以及他们之间的关系，下面来具体看下 iptables命令的基本用法 。

更多关于各command、para

那iptables基于netfilter具体是怎么做到在各个链上对数据包做拦截的呢？

/net/ipv4/ip_output.c

/net/ipv4/ip_input.c

/net/ipv4/ip_forward.c

可以看到内核在每一个数据转发的关键节点都调用了NF_HOOK这个宏，来看下NF_HOOK这个宏干了啥

关于NF_HOOK相关具体逻辑可参见 https://sites.google.com/site/ibmsdu/network-security-development/netfilter%E8%AE%BE%E8%AE%A1%E4%B8%8E%E6%BA%90%E7%A0%81%E5%88%86%E6%9E%90

iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

iptables命令的语法规则：

iptables CRETIRIA -j ACTION；

-t table，是指操作的表，filter、nat、mangle或raw, 默认使用filter；

COMMAND，子命令，定义对规则的管理；

chain：指明链路；

CRETIRIA：匹配的条件或标准；

ACTION：操作动作；

命令说明

Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。

可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作’target’（目标），也可以跳向同一个表内的用户定义的链。

以上内容参考：百度百科-IPTABLES

打开指定端口：/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT #80为指定端口

将更改进行保存：/etc/rc.d/init.d/iptables save

直接在/etc/sysconfig/iptables中增加一行：-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

关闭端口：iptables -A INPUT -p tcp --dport 111 -j DROP

开发不连续端口（包括单个）：iptables -A INPUT -p tcp -m multiport --dport 21,20 -j ACCEPT

linux的优点：

linux是开源的，任何人都是可以查看他的源代码的，这使得他特别的安全，而windows则不开源，所以你要经常的打补丁，修补漏洞之类的。

linux内核优化的好，没有哪个linux需要右键的刷新键（红旗linux是为了国人的使用习惯加的），而windows则不同，微软的系统非常的复杂，而且运先行效率相对linux要低很多。

禁止进入本机的，源地址为所有，目的地址为所有，目的端口为TCP端口13，的数据包。

iptables－－静态防火墙。iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置规则，来把守计算机网络——哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。

扩展资料：

iptables传输数据包的过程

① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。

1.安装iptables管理命令

2.加载防火墙的内核模块

3.查看已加载的模块

4.启动防火墙

首先停止firewalld

开启iptables

1.查看防火墙规则

2.清除防火墙规则

3.添加防火墙规则

4.网络连接状态

5.删除某个规则

1.禁止某个端口访问

2.规则解释：

3.禁止除跳板机以外的IP访问

4.匹配端口范围

 5. 匹配ICMP类型

6.一些操作

1、封掉10.0.0.7

2、让10.0.0.7和SSH客户端（10.0.0.1）服务器可以Ping，其它的不能Ping

3、封掉3306端口

1.从上往下依次匹配

2.一但匹配上,就不在往下匹配了

3.默认规则,默认的情况,默认规则是放行所有

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

iptables A INPUT -p tcp -m state --dport 22 -j DROP

禁止一个数据包:

tcp协议

访问的端口是22

禁止源地址是10.0.0.7的主机访问22端口

禁止源地址是10.0.0.7的主机访问任何端口

禁止源地址是10.0.0.8的主机访问80端口

禁止除了10.0.0.7以外的地址访问80端口

2条规则冲突,会以谁先谁为准

禁止10.0.0.7访问22和80端口

禁止10.0.0.7访问22到100之间的所有端口

禁止所有主机ping

放行10.0.0.7可以ping

只允许10.0.0.7可以ping

等同于上一条,优化版,只要不是10.0.0.7就不允许ping

优先级:

匹配频次最高的条件放前面