centos 使用iptables封ip地址的方法

1、安装iptables防火墙
CentOS执行：

yum install iptables
Debian/Ubuntu执行：

apt-get install iptables
2、清除已有iptables规则

iptables -F
iptables -X
iptables -Z

3、开放指定的端口
#允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT
# 允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话，规则也类似，稍微修改上述语句就行
#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
4、屏蔽IP
#如果只是想屏蔽IP的话3、“开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP
4、查看已添加的iptables规则

iptables -L -n
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在 v 的基础上，禁止自动单位换算（K、M）
n：只显示IP地址和端口号，不将ip解析为域名
5、删除已添加的iptables规则
将所有iptables以序号标记显示，执行：

iptables -L -n --line-numbers
比如要删除INPUT里序号为1的规则，执行：
iptables -D INPUT 1
6、iptables的开机启动及规则保存

chkconfig --level 345 iptables on
CentOS上可以执行：service iptables save保存规则
linux下使用iptables封ip段的一些常见命令：
封单个IP的命令是：

iptables -I INPUT -s 211.1.0.0 -j DROP
封IP段的命令是：

iptables -I INPUT -s 211.1.0.0/16 -j DROP
iptables -I INPUT -s 211.2.0.0/16 -j DROP
iptables -I INPUT -s 211.3.0.0/16 -j DROP
封整个段的命令是：

iptables -I INPUT -s 211.0.0.0/8 -j DROP
封几个段的命令是：

iptables -I INPUT -s 61.37.80.0/24 -j DROP
iptables -I INPUT -s 61.37.81.0/24 -j DROP
解封的话：

iptables -D INPUT -s IP地址 -j REJECT
全清掉：

iptables -F
关闭：

/etc/rc.d/init.d/iptables stop
启动：

/etc/rc.d/init.d/iptables start
重启：

/etc/rc.d/init.d/iptables restart
1、重启后生效
开启：chkconfig iptables on
关闭：chkconfig iptables off
2、即时生效，重启后失效
开启：service iptables start
关闭：service iptables stop

iptables配置IP地址白名单

编辑iptables配置文件，将文件内容更改为如下，则具备了ip地址白名单功能
#vim /etc/sysconfig/iptables

1.*filter
2.:INPUT ACCEPT [0:0]
3.:FORWARD ACCEPT [0:0]
4.:OUTPUT ACCEPT [0:0]
5.
6.-N whitelist
7.-A whitelist -s 1.2.3.0/24 -j ACCEPT
8.-A whitelist -s 4.5.6.7 -j ACCEPT
9.
10.-A INPUT -m state --state RELATED,ESTABLISHED -j whitelist
11.-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
12.-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j whitelist
13.-A INPUT -p icmp -j ACCEPT
14.-A INPUT -i lo -j ACCEPT
15.-A INPUT -j REJECT --reject-with icmp-host-prohibited
16.-A FORWARD -j REJECT --reject-with icmp-host-prohibited
17.COMMIT

6~8 行是添加白名单列表，可以是ip段或者单个ip地址
10~12行 注意的是“-j whitelist”而不是“-j ACCEPT”，前者将该端口访问权限限制在白名单内，后者为不限制

13行 任何ip地址都能ping通该主机，因为“-j ACCEPT”没有做相应限制

配置完毕后，运行命令重启防火墙使规则生效
#systemctl restart iptables.service