Linux系统下如何添加防火墙规则（添加白名单）？

内容来源重庆思庄论坛：

防火墙的作用：

可以通过设置ip白名单/黑名单的方式限制外部ip的访问或者限制访问内部某个端口；

添加防火墙过滤规则步骤如下

1、查看现有防火墙过滤规则：

iptables -nvL --line-number

2、添加防火墙过滤规则（设置白名单）：

1）添加白名单

iptables -I INPUT 3 -s 196.168.133.5 -p tcp --dport 1521 -j ACCEPT

命令详解：

-I：添加规则的参数  

INPUT：表示外部主机访问内部资源

3：表示添加到第三行（可以任意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport: 用于匹配端口号

-j: 用于匹配处理方式：

常用的ACTION：

DROP：悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

2）查看添加结果

iptables -nvL --line-number

1.安装iptables管理命令

2.加载防火墙的内核模块

3.查看已加载的模块

4.启动防火墙

首先停止firewalld

开启iptables

1.查看防火墙规则

2.清除防火墙规则

3.添加防火墙规则

4.网络连接状态

5.删除某个规则

1.禁止某个端口访问

2.规则解释：

3.禁止除跳板机以外的IP访问

4.匹配端口范围

 5. 匹配ICMP类型

6.一些 *** 作

1、封掉10.0.0.7

2、让10.0.0.7和SSH客户端（10.0.0.1）服务器可以Ping，其它的不能Ping

3、封掉3306端口

1.从上往下依次匹配

2.一但匹配上,就不在往下匹配了

3.默认规则,默认的情况,默认规则是放行所有

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

iptables A INPUT -p tcp -m state --dport 22 -j DROP

禁止一个数据包:

tcp协议

访问的端口是22

禁止源地址是10.0.0.7的主机访问22端口

禁止源地址是10.0.0.7的主机访问任何端口

禁止源地址是10.0.0.8的主机访问80端口

禁止除了10.0.0.7以外的地址访问80端口

2条规则冲突,会以谁先谁为准

禁止10.0.0.7访问22和80端口

禁止10.0.0.7访问22到100之间的所有端口

禁止所有主机ping

放行10.0.0.7可以ping

只允许10.0.0.7可以ping

等同于上一条,优化版,只要不是10.0.0.7就不允许ping

优先级:

匹配频次最高的条件放前面

在Linux *** 作系统中，iptables是用于配置和管理网络防火墙和网络地址转换（NAT）的工具。其中，iptables -F是用于清除所有的防火墙规则和计数器，即将所有的iptables规则设置为默认值，从而可以清空当前的防火墙策略。这个命令的具体作用是将过滤规则表的内容清空，包括所有链的规则，但保留默认策略。这个命令通常在重新配置iptables规则时使用。

---