Linux系统下如何添加防火墙规则（添加白名单）？

内容来源重庆思庄论坛：

防火墙的作用：

可以通过设置ip白名单/黑名单的方式限制外部ip的访问或者限制访问内部某个端口；

添加防火墙过滤规则步骤如下

1、查看现有防火墙过滤规则：

iptables -nvL --line-number

2、添加防火墙过滤规则（设置白名单）：

1）添加白名单

iptables -I INPUT 3 -s 196.168.133.5 -p tcp --dport 1521 -j ACCEPT

命令详解：

-I：添加规则的参数  

INPUT：表示外部主机访问内部资源

3：表示添加到第三行（可以任意修改）

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP；

-p: 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

--dport: 用于匹配端口号

-j: 用于匹配处理方式：

常用的ACTION：

DROP：悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

2）查看添加结果

iptables -nvL --line-number

dhcp服务器搞白名单？绑定MAC不就可以了嘛。1.给mac地址绑定ip地址并配置其通过相应的防火墙的过滤

首先修改dhcp的相应的配置文件vi /etc/dhcpd.conf在里面加入相应的记录 service dhcpd restart重启服务第二步，iptables -A FORWARD -s 192.168.1.228 -m mac --mac-source 00:25:11:22:12:E2 -j ACCEPT（也可以通过修改配置件/etc/sysconfig/iptables.save来实现防火墙的配置）；

第三步，/etc/init.d/iptables save保存对防火墙的修改。

2.将内部服务器通过防火墙映射到外网，实现外网可以访问内网的功能。

第一，iptables -t nat -A PREROUTING -d 124.193.140.66 -p tcp --dport 7080 -j DNAT --to 192.168.0.170:9080（让内网服务器的相应的端口通过nat映射到外网地址的相应的端口）。

删除 iptables -t nat -D PREROUTING

第二，iptables -A FORWARD -d 192.168.0.170 -p tcp --dport 9080 -j ACCEPT（允许内网服务器的相应的端口同过防火墙）

第三，/etc/init.d/iptables save（保存对防火墙的修改）

---