一.当INPUT和OUTPUT规则默认为ACCEPT时:
1.禁止ping其他主机和禁止其他主机ping本机:
iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP (--icmp-type echo-reply是指ping的回显应答,就是其他主机ping本机时是否给予应答)
iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP (--icmp-type echo-request是指回显请求,就是本机向其他机器发出ping的请求)
2.禁止其他主机ping本机,允许本机ping其他主机:
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP (--icmp-type 后面0代表echo-reply,8代表echo-request,-s 0/0是指任意地址,这个规则就是说当有其他主机向本机发出ping请求包时拒绝掉)
二.当INPUT和OUTPUT规则默认为DROP时:
设置可以ping本机,可以ping外部其他主机:
iptables –A INPUT –p icmp –icmp-type echo-reply –j ACCEPT
iptables –A OUTPUT –p icmp –icmp-type echo-request –j ACCEPT
iptables –A INPUT –i lo –p all –j ACCEPT
iptables –A OUTPUT –o lo –p all –j ACCEPT
上面做完后可以ping 外部的IP地址和本机127.0.0.1了,但是不能ping域名,如等,这个时候需要增加如下规则:
iptables –A INPUT –p udp –sport 53 –j ACCEPT
iptables –A OUTPUT –p udp –dport 53 –j ACCEPT
现在就可以ping域名了,最后保存规则,重启防火墙
service iptables save
service iptables restart
阅读(3556) | 评论(0) | 转发(0) |
