一、開放 80 埠
WEB 站羣服務器 IP 172.16.100.1
iptables -A INPUT -d 172.16.100.1 -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -s 172.16.100.1 -p tcp –sport 80 -j ACCEPT
如果不是開放的 80 埠而是其他埠請將 80 埠改變成你需要的埠
二、關於 icmp 協議的規則
允許本機 ping 通外網,但不允許外網 ping 本機
iptables -A OUTPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
允許外網 ping 本機
iptables -A OUTPUT -p icmp –icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
三、開放 FTP 服務
大家都知道 ftp 返回資料的時候埠不是固定的,所以我們不能像開放 web 服務的那樣直接開放某個埠,所以很多人開放了 21 埠之後都不能正常的訪問 ftp 站羣服務器,在裏我們就使用 Iptables 的擴充套件模組來開放 ftp
3.1 、開啓被動模式 FTP 支援
在/etc/sysconfig/iptables-config 裏面新增 ip_nat_ftp 、 ip_conntrack_ftp 模組,如下:
vim /etc/sysconfig/iptables-config
IPTABLES_MODULES=”ip_nat_ftp”
IPTABLES_MODULES=”ip_conntrack_ftp”
3.2 、然後重啓 iptables 或者執行如下命令
lsmod | grep ftp (檢視是否載入 ftp 模組)
modprobe ip_nat_ftp(載入 ftp 模組)
lsmod | grep ftp (檢視模組是否被載入)
3.3 、之後只需要新增規則
iptables -I INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state –state NEW -p tcp –dport 21 -j ACCEPT