iptables添加端口规则

iptables是Linux系统中用于配置内核防火墙的工具，可以用来添加、删除、修改端口规则，本文将详细介绍如何使用iptables添加端口。

我们需要了解iptables的基本概念和语法，iptables有三种表：filter、nat和mangle，每种表都有多个链，每个链都有一个或多个规则，规则由匹配条件和动作组成，匹配条件包括源IP地址、目标IP地址、协议类型等，动作可以是接受或拒绝数据包。

要添加端口，我们需要在filter表的INPUT链中添加一条规则，规则的格式如下：

-A INPUT -p 协议 --dport 端口号 -j ACCEPT/DROP

-A表示追加规则，INPUT表示链的名称，-p表示协议类型，–dport表示目标端口号，-j表示动作(ACCEPT表示接受，DROP表示拒绝)。

要允许TCP协议的80端口通信，可以执行以下命令：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

如果需要拒绝所有其他协议的80端口通信，可以执行以下命令：

iptables -A INPUT ! -p tcp --dport 80 -j DROP

需要注意的是，执行这些命令后，需要保存iptables的配置，以便在系统重启后仍然生效，在Debian和Ubuntu系统中，可以使用以下命令保存配置：

sudo sh -c 'iptables-save > /etc/iptables/rules.v4'

在CentOS和RHEL系统中，可以使用以下命令保存配置：

sudo service iptables save

接下来，我们来看一个实际的例子，假设我们有一个Web服务器，监听在TCP协议的80端口上，我们希望只允许内部网络(192.168.1.0/24)访问该服务器，我们可以按照以下步骤操作：

1. 创建一个新的链：

sudo iptables -N WEB_SERVER_PORTS

2. 在新的链中添加一条规则，允许内部网络访问TCP协议的80端口：

sudo iptables -A WEB_SERVER_PORTS -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT

3. 将新链应用到INPUT链中：

sudo iptables -A INPUT -p tcp --dport 80 -j WEB_SERVER_PORTS

只有内部网络中的主机才能访问Web服务器的80端口，如果需要拒绝其他主机的访问，可以在新链中添加一条类似的规则。

我们来看四个与本文相关的问题与解答：

Q1: 如何删除刚刚添加的端口规则？可以使用iptables的-D命令删除指定的规则，要删除上面添加的允许内部网络访问TCP协议的80端口的规则，可以执行以下命令：

sudo iptables -D WEB_SERVER_PORTS -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT