iptables初始化配置记录[centos6.6]

把自己的主机iptables重新配置了一遍，发现网上很多资料失效了，所以记录一个笔记

昨天上阿里云的主机发现多开了很多端口，检查iptables发现默认规则多了一行:

:INPUTACCEPT[7:1000]

估计是系统自动升级CentOS6.6导致的，然后感觉iptables规则很乱，决定重新整理一下

首先按照网上的教程

iptables-F

然后果断出事了，哥用putty连的虚拟机，这个命令一下去SSH连接直接断掉了！！！当时汗就下来了，好在发现阿里云提供了Web端的远程连接，而且貌似是直接连上虚拟机系统的，不是基于SSH连接！顿时觉得碉堡了

于是从Web远程继续

iptables-X

serviceiptablessave

iptables初始化完成

查看/etc/sysconfig/iptables文件，发现里面预置了3条

:INPUTACCEPT[0:0]

:FORWARDACCEPT[0:0]

:OUTPUTACCEPT[5102:289777]

好吧我也不知道OUTPUT后面的端口号是个什么鬼

按照之前的教程执行

iptables-pINPUTDROP

但是失败，先把:INPUT后面改成DROP吧，禁止所有请求进入

是允许127.0.0.1内部的所有通讯

iptables-ilo-jACCEPT

把ssh端口打开

iptables-AINPUT-ptcp--dprot22-jACCEPT

serviceiptablessave

然后可以重新打开本地的ssh工具继续配置了

这时候我发现yum,curl什么的工具全部用不了，ping任何ip也ping不通，dns也无法解析

因为服务器请求发出去后返回的包被拦截了，所以根据状态放行已建立的连接返回包

iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT

执行一下curlbaidu.com发现已经ok了

然后就是从外部ping服务器还是ping不通的，因为服务器禁用了icmp包，放行

iptables-AINPUT-picmp-jACCEPT

基础配置已经完了，保存一下

serviceiptablessave

最后如果还有什么http,ftp之类的端口再自行添加吧，命令参照开ssh端口的那一条就行，最后别忘了保存