关于iptables的几个可能碰见的问题。

其实还是蛮简单的。但是总想不起来。、
可能因为太复杂吧。。
举个例子吧 把80端口转到8080上
iptables -t nat -A PREROUTING -p tcp --dprot 80 -j REDIRECT --to-ports 8080
如果你想检查这个命令的时候 你用iptables -L 是看不出来的。  
用iptables -F 也不会被清除
想看这个命令的状态 就打
iptables -t nat -vnL
[root@localhost bin]# iptables  -t nat -vnLChain PREROUTING (policy ACCEPT 125 packets, 16254 bytes) pkts bytes target     prot opt in     out     source               destination             3   156 REDIRECT   tcp  –  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8097 redir ports 8086 
Chain POSTROUTING (policy ACCEPT 113 packets, 10332 bytes) pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 113 packets, 10332 bytes) pkts bytes target     prot opt in     out     source               destination         
这样的话 这个命令就出来了。如果想删除这条命令就iptables -t nat -D PREROUTING -p tcp --dprot 80 -j REDIRECT --to-ports 8080 ------------------下一个案例
iptables开放22、80端口，以及允许本机访问本机所有端口协议
iptables -F /* 清除所有规则 / iptables -A INPUT -p tcp --dport 22 -j ACCEPT /允许包从22端口进入/ iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /允许从22端口进入的包返回/ iptables -A OUTPUT -p udp --dport 53 -j ACCEPT / 域名解析端口，一般不开 / iptables -A INPUT -p udp --sport 53 -j ACCEPT / 域名解析端口，一般不开 / iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /允许本机访问本机/ iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /允许所有IP访问80端口/ iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables-save > /etc/sysconfig/iptables /保存配置/ iptables -L / 显示iptables列表 */ iptables -A INPUT -p tcp -s 192.168.0.1 -j ACCEPTiptables -A OUTPUT -p tcp -d 192.168.0.1 -j ACCEPT

---

iptables  禁pingecho “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
这下是别人不能ping你，你也不能ping别人
将其值改为1后为禁止PING
将其值改为0后为解除禁止PING
其实使用iptable最简单
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1 -j DROPiptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.29.1 -j ACCEPT

如何让别人ping不到自己，而自己又能ping别人,问题其实很简单，用如下脚本#/bin/bash
iptables -F
iptables -F -t nat
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sport 80,22 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT