iptables是Linux上常用的防火墙软件，下面就介绍下怎么通过iptables创建防火墙

1.检查下你的服务器是否有了默认的防火墙设置

sudo iptables -L

如果没有设置话，会输出空白的结果，如下所示：

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

2.可以使用下面的命令创建防火墙规则：

sudo vi /etc/iptables.firewall.rules

一个简单的例子如下所示：

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  允许所有本机向外的访问
-A OUTPUT -j ACCEPT

# 开发80和443端口
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#允许ssh登录，这里的dport需要和你再sshd_config里面配置的一致
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  是否允许ping，注释掉则不允许
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
# --limit 对由此规则引发的记录事件的频率进行限制
# --log-prefix 在每条记录前加上一个前缀，以便查找
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy去掉上面规则外
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

保存，退出

3.上面的规则，开放了80，443，22端口，其它的端口被屏蔽掉了，而且不允许ping

4.激活防火墙使用下面的命令：

sudo iptables-restore < /etc/iptables.firewall.rules

再次使用sudo iptables -L 查看

5.可以测试下ping这个服务器：现在是ping不通的。

6.为了保证你每次重启你的服务器你的防火墙规则是有效的，需要创建一个脚本：

sudo vi /etc/network/if-pre-up.d/firewall

#!/bin/sh
/sbin/iptables-restore < /etc/iptables.firewall.rules

7.改变这个脚本的读写权限：

sudo chmod +x /etc/network/if-pre-up.d/firewall

上面就是一个简单的配置。

8.如果我们想指定某个ip通过ssh访问的话，可以这样

-A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

从150ssh登录110则超时

如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP

可以通过查看/var/log/syslog看到拒绝的日志：

ps:

sudo   iptables -F        清除预设表filter中的所有规则链的规则

sudo   iptables -X        清除预设表filter中使用者自定链中的规则

iptables --help            查看帮助