iptables设置黑白名单

        一般情况服务访问可以通过网关控制，很久没有用iptables了。在此记录一下。

systemctl status firewalld 防火墙状态检查一下

如果开着的 

systemctl stop firewalld 关闭防火墙

systemctl disable firewalld 禁用防火墙

然后 yum install -y iptables iptables-services 

(linux默认用firewalld，没有iptables，习惯iptables就需要重装了)

vi /etc/sysconfig/iptables

填入如下内容：

*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT 
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT
#以上是基础，此时所有ip 均可访问所有端口 22 80其实可以不写，不过备上为妙
#拒绝所有 10.10.1.200-255的端口访问tcp
-I INPUT -m iprange --src-ange 10.10.1.200-10.10.1.255 -p tcp -J DROP
#拒绝10.10.1.1 - 255 端口访问tcp
-I INPUT -p tcp -s 10.10.1.1/24 -j DROP
#拒绝10.10.2.1 - 255 端口访问tcp 3306
-I INPUT -p tcp -s 10.10.2.1/24 --dport 3306 -j DROP
#允许10.10.3.1 - 255 端口访问tcp 3306
-I INPUT -p tcp -s 10.10.3.1/24 --dport 3306 -j ACCEPT
COMMIT
 

systemctl restart iptables

后续若需修改，修改文件即可