Iptables 之埠开放

一、开放 80 埠
WEB 站群服务器 IP 172.16.100.1

iptables -A INPUT -d 172.16.100.1 -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -s 172.16.100.1 -p tcp –sport 80 -j ACCEPT

如果不是开放的 80 埠而是其他埠请将 80 埠改变成你需要的埠
二、关于 icmp 协议的规则

允许本机 ping 通外网，但不允许外网 ping 本机
 iptables -A OUTPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
允许外网 ping 本机
 iptables -A OUTPUT -p icmp –icmp-type 0 -j ACCEPT
 iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT

三、开放 FTP 服务
大家都知道 ftp 返回资料的时候埠不是固定的，所以我们不能像开放 web 服务的那样直接开放某个埠，所以很多人开放了 21 埠之后都不能正常的访问 ftp 站群服务器，在里我们就使用 Iptables 的扩充套件模组来开放 ftp
3.1 、开启被动模式 FTP 支援

在/etc/sysconfig/iptables-config 里面新增 ip_nat_ftp 、 ip_conntrack_ftp 模组，如下：
vim /etc/sysconfig/iptables-config
IPTABLES_MODULES=”ip_nat_ftp”
IPTABLES_MODULES=”ip_conntrack_ftp”

3.2 、然后重启 iptables 或者执行如下命令

lsmod | grep ftp （检视是否载入 ftp 模组）
modprobe ip_nat_ftp（载入 ftp 模组）
lsmod | grep ftp (检视模组是否被载入)

3.3 、之后只需要新增规则

iptables -I INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state –state NEW -p tcp –dport 21 -j ACCEPT