前言：在工作中经常遇到用iptables放行端口、拦截ip段、放行ip段以及删除iptables规则等操作,虽然自己有笔记,每次都可以复制,但时间长了,笔记很混乱,不方便查找,本文章将介绍在工作中遇到的关于iptables常见的操作方法。

---

本站其他iptables相应文章：
Linux下iptables封端口及ip以及封ip段的方法：https://blog.tag.gg/showinfo-3-278-0.html
iptables只允许某一ip访问某端口设置方法：https://blog.tag.gg/showinfo-3-262-0.html

---

放行端口：
查看iptables规则：

iptables -L -n

查看iptables是否有设置端口转发：

iptables -vnL -t nat

1、放行针对所有ip放行8080端口：

iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

2、针对指定ip或ip段放行8080端口：
如果是UDP端口,请将TCP更换成tcp
允许114.114.114.114 ip访问8080端口

iptables -I INPUT -s 114.114.114.114 -p tcp --dport 8080 -j ACCEPT

允许“114.114.114.0/24”这个c段访问8080：

iptables -I INPUT -s 114.114.114.0/24 -p tcp --dport 8080 -j ACCEPT

允许114.114.114.114这个ip访问服务器所有协议的所有端口,如果是UDP端口,请加上：-p tcp

iptables -I INPUT -s 114.114.114.114 -j  ACCEPT

允许“114.114.114.0/24”这个c段访问服务器所有协议所有端口：如果是UDP端口,请加上：-p tcp

iptables -I INPUT -s 114.114.114.0/24 -j ACCEPT

放行域名解析端口（udp/tcp 53）

iptables -I INPUT -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT -p tcp--sport 53 -j ACCEPT

放行ICMP协议（ping）

iptables -I INPUT -p icmp -j ACCEPT

---

拒绝放行：
1、封掉单个IP访问服务器所有端口：

iptables -I INPUT -s 123.45.67.89 -j DROP

2、封停ip段访问服务器所有端口：

iptables -I INPUT -s 192.168.200.0/24 -j DROP

3、封停指定ip访问指定端口：

iptables -I INPUT -p tcp --dport 8080 -s 123.45.67.89 -j DROP

4、封停指定ip段访问指定端口：

iptables -I INPUT -p tcp --dport 8080 -s 123.45.67.0/24 -j DROP

5、只允许指定ip或指定ip段访问某端口,其他所有ip都不能访问。

iptables -I INPUT -p tcp --dport 8080 -s 114.114.114.114 -j ACCEPT
iptables -I INPUT -p tcp --dport 8080 -j DROP

6、只封停某端口。

iptables -I INPUT -p tcp --dport 8080 -j DROP

---

其他场景：
1、业务是docker监听,端口正常,docker业务启动正常,但外部不通。

iptables -t nat -I PREROUTING -p tcp --dport 3306 -m state --state NEW -j ACCEPT
iptables -P FORWARD ACCEPT

2、所有端口不通,查看iptables显示：Chain INPUT (policy DROP)表示禁止入放行所有请求,执行如下命令允许即可

iptables -P INPUT ACCEPT

3、删除iptables中的指定规则。
#按行列表显示当前规则

iptables -L -n --line-numbers

显示如下：

[root@blog.tag.gg ~]# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  123.45.67.89         0.0.0.0/0            tcp dpt:8080
2    ACCEPT     tcp  --  171.221.26.15        0.0.0.0/0           
3    ACCEPT     tcp  --  114.114.114.114        0.0.0.0/0           
4    DROP       tcp  --  8.8.8.8              8.137.15.1           tcp dpt:80

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

我们要删除第三条规则：

iptables -D INPUT 3

如果要删除FORWARD或OUTPUT 方法一样,将INPUT 替换一下即可。

---

保存iptables规则：
系统版本不一样,命令也不一样,一般用第二个或第三个。

service iptables save

/etc/init.d/iptables save

iptables-save

备份iptables规则三个方法：
方法一：复制备份,如果有问题,用第三个。

cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak20211219

方法二：查看iptables规则并备份

iptables –L –n > /tmp/iptable_L_n.bak20211219

方法三：保存iptables配置并备份

iptables-save > /tmp/iptables.bak20211219 iptables-save > /tmp/iptables.bak20211219 iptables-save > /tmp/iptables.bak20211219

从备份中恢复规则：（建议停止iptables,恢复后再启动）

iptables-restore < /path/to/backup/file