通過iptables設置Linux防火牆INPUT策略

小白電腦課堂開課啦！遊戲團戰就死機，多半是廢了。大家好我是小白。說到防火牆，同學們都會想到開了防火牆就會卡的Windows。而在Linux中，防火牆是個很重要的服務。雖然現在已經有了新的firewalld服務，但新的防火牆配置工具也沒有完全取代iptables，而且很多企業還在iptables服務。今天小白就用iptables來演示如何設置防火牆中INPUT的策略。

一、簡介一下iptables。 iptables命令中ACCEPT（允許流量通過）、LOG（記錄日誌資訊）、REJECT（拒絕流量通過）、DROP（拒絕流量通過）。允許動作和記錄日誌工作都比較好理解，著重需要講解的是這兩條拒絕動作的不同點，其中REJECT和DROP的動作操作都是把資料包拒絕，

DROP是直接把資料包拋棄不回應，而REJECT會拒絕後再回復一條“您的資訊我已收到，但被扔掉了”，讓對方清晰的看到資料被拒絕的回應。下圖是iptables的選項。

二、我們今天分別演示：1、設置拒絕規則鏈（預設只能是DROP不能是REJECT）；2、向規則鏈中添加icmp包流入允許策略（就是允許別人通過ping命令來查看我們的主機是否線上）；3、只允許本機指定埠被指定網段訪問，

其他流量均被拒絕；4、拒絕所有人訪問本機指定埠；5、拒絕指定主機訪問本機指定埠；6、拒絕所有人訪問本機指定的埠段；7、刪除指定策略；8、最後保存設置的防火牆策略。

1、設置拒絕規則鏈（預設只能是DROP不能是REJECT）。首先我們輸入“iptables -F”清空所有防火牆策略（一定要在實驗環境下做，不然會把配置好的策略清除）。然後輸入“iptables -P INPUT DROP”。設置好以後我們用“iptables -L”命令查看一下策略列表。然後用ping命令驗證一下是否設置成功。可以看到已經拒絕了。成功之後我們為了下面的演示，把INPUT策略設置為允許通過“iptables -P ACCEPT”。