iptables设置黑白名单

首先要明白两个概念：黑名单和白名单。

黑名单：把所有人当做好人，只拒绝坏人。
白名单：把所有人当做坏人，只放行好人。

看起来似乎白名单安全一点，黑名单接受的范围大一点。

对于iptables来说本来存在默认规则，通常默认规则设置为ACCEPT或者DROP。
如果默认规则是ACCEPT，那就是把所有人当做好人了，如此可以建立黑名单机制了。
如果默认规则是DROP，即是把所有人当做坏人，可以建立白名单机制。

使用C7 x86_64为实验环境
CentOS7默认的防火墙不是iptables,而是firewalle.
如果你没有安装iptables的话，你可以使用以下命令进行安装

systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld

上面的意思是先屏蔽掉原有的firewall防火墙，下面我们就开始安装iptables，至于为什么要安装IPtables我就不讲了

yum install iptables iptables-services -y

设置规则
#查看iptables现有规则

iptables -L -n

#先允许所有,不然有可能会杯具

iptables -P INPUT ACCEPT

#清空所有默认规则

iptables -F

#清空所有自定义规则

iptables -X

#所有计数器归0

iptables -Z

#允许来自于lo接口的数据包(本地访问)

iptables -A INPUT -i lo -j ACCEPT

#开放22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#开放21端口(FTP)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#开放80端口(HTTP)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#开放443端口(HTTPS)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许ping

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢弃

iptables -P INPUT DROP

#所有出站一律绿灯

iptables -P OUTPUT ACCEPT

#所有转发一律丢弃

iptables -P FORWARD DROP

其他规则设定
#如果要添加内网ip信任（接受其所有TCP请求）

iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT

#过滤所有非以上规则的请求

iptables -P INPUT DROP

#要封停一个IP，使用下面这条命令：

iptables -I INPUT -s ... -j DROP

#要解封一个IP，使用下面这条命令:

iptables -D INPUT -s ... -j DROP

#保存上述规则

service iptables save

开启iptables服务
#注册iptables服务
#相当于以前的chkconfig iptables on

systemctl enable iptables.service

#开启服务

systemctl start iptables.service

#查看状态

systemctl status iptables.service

也可以直接编写iptables配置文件来设置白名单
#vim /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

#定义白名单群组
-N whitelist
#设置白名单IP，开放ip可以访问设备,白名单就按类似规则增加就可以
-A whitelist -s  192.168.1.100     -j ACCEPT
-A whitelist -s  100.20.30.40     -j ACCEPT
-A whitelist -s  1.2.3.4      -j ACCEPT
-A whitelist -s  25.36.47.58     -j ACCEPT
#开放所有设备主动访问的服务器，处在RELATED,ESTABLISHED状态可以通信，这样设备需要主动访问的服务器就不用一个一个添加到白名单了
-A INPUT -m state --state RELATED,ESTABLISHED -j whitelist
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#白名单端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j whitelist
-A INPUT -m state --state NEW -m tcp -p tcp --dport 9000 -j whitelist
#也可以这样写
#-A INPUT -m state --state NEW -m tcp -p tcp --dport  3306,80,9000 -j whitelist
#拒绝白名单以外IP访问指定端口
-A INPUT  -p tcp  -m  multiport --dports  3306,80,9000  -j  DROP
COMMIT

配置文件编辑完成后重启iptables使配置生效

systemctl resatrt iptables.service