IPTABLES規(guī)則，先拒絕所有鏈接，在注意開放對外服務

   IPTABLES可用操作

 （1）-L：先是所選鏈中所有策略  IPTABLES -t filter -L

 （2）-A：（鏈名稱）：在所選鏈尾部加上一條新的策略

 例：IPTABLES -t filter -A INPUT -S 192.168.3.1 -j DROP

 (3) -D:(鏈名稱) （策略內容或序號）從所選鏈中刪除策略

 例：iptables -t filter -D INPUT 3

 (4) -F(鏈名稱）清空所選鏈策略，

 iptables -F INPUT

   IPTABLES可用數據描述

 （1）-p（tcp/udp/icmp）匹配指定的協(xié)議  例：

 阻止源地址為192.168.3.1到本機的所有UDP通信

 iptables -t filter -A INPUT -P udp -S 192.168.3.1 -j DROP

 (2) -d (ip地址) 阻止這個地址的通信

 阻止ip地址為192.168.3.1/192.168.3.0這個網段的通信

 iptables -t filter -A OUTPUT -d 192.168.3.1/  192.168.3.0/24 -j DROP

 (3) -i(網絡接口) 以數據包進入本機接口來匹配數據包 （進入本地接口 -i）

 例：阻止從eth0進入的源地址為192.168.3.1的所有通信

 iptables -t filter -A INPUT -i eth0 -s 192.168.3.1 -j DROP

 （4）-o (網絡接口) 以數據包離開本地所使用的網絡接口來匹配數據包，同 -i（離開本地接口 -o）

 例：阻止目標IP地址為192.168.3.0從eth0發(fā)出的所用通信

 iptables -t filter -A OUTPUT -o eth0 -S 192.168.3.0/24 -j DROP

 (5) --sport (端口) 使用數據包源端口匹配數據包，該參數必須同 -p配合使用

 例：阻源端口為1000的所有tcp通信

 iptables -t filter -A INPUT -p tcp --sport 1000 -j DROP

 (6) --dport(端口) 基于數據包目的端口匹配

 例：阻止目標端口為1000的所tcp通信

 iptables -t filter -A OUTPUT -p tcp --dport 1000 -j DROP

       常見服務策略配置

 例：DNS：

 iptables -A INPUT -p udp -s 192.168.3.0/24 --dport 53 -j ACCEPT

 iptables -A INPUT -p udp -s 192.168.3.0/24 --sport 53 -j ACCEPT

 iptables -A OUTPUT -p udp -D 192.168.3.0/24 --dport 53 -j ACCEPT

 iptables -A OUTPUT -p udp -D 192.168.3.0/24 --sport 53 -j ACCEPT

 IPTABLES規(guī)則保存在配置文件  /etc/sysconfig/iptables

  以下命令可以將當前IPTABLES配置保存到配置文件中

  service iptables save

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。