linux-iptables-修改防火墙规则

1、编辑防火墙配置文件：
vi /etc/sysconfig/iptables

-A INPUT -p udp -m udp --dport 161 -j ACCEPT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [51:5942]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s 59.57.251.34 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 218.5.74.235 -p tcp -m tcp -j ACCEPT
-A INPUT -s 192.168.0.0/24 -j ACCEPT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -s 59.57.251.38 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,25,80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9000:9045 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 161 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 10598 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -j DROP
COMMIT


简单说明：
-A INPUT -s 59.57.251.34 -p tcp -m tcp --dport 22 -j ACCEPT
-s 59.57.251.34:源IP为59.57.251.34
-p tcp:tcp协议
-m tcp:使用 tcp 扩展模块的功能 (tcp扩展模块提供了 --dport等功能）
-dport 22:目标端口为22
-j ACCEPT:接受请求

-A OUTPUT -j ACCEPT
默认出去的数据包都可以通过防火墙
-A INPUT -j DROP
默认进来的数据包都被防火墙丢弃

防火墙规则是从上到下走的，所以这两条放在最后面；
即除了上面的那些特殊规则，都按最后的两个默认设置来执行；

2、重启防火墙
service iptables stop
service iptables start


3、查看防火墙规则
iptables -L