1.在debian9及以上已经没默认安装iptables,所以需要手动安装:

apt install iptables

2.安装iptables开机加载规则应用

apt install iptables-persistent

安装此程序后会在当前/etc/iptables目录下生成一个后缀v4和v6的iptables规则文件作为开机规则加载

如果想使用当前iptables配置,可使用使用以下命令替换/etc/iptables/下的rules.v4和v6文件

iptables-save > /etc/iptables/rules.v4 替换默认文件

3.iptables初始化规则命令模板,如下:

# 允许回环网卡
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allows all outbound traffic
# 允许所有本机向外的访问(选这个的话就把其它OUTPUT规则删除即可)
iptables -A OUTPUT -j ACCEPT

# 允许ssh:22 http:80 https:443 ftp:21(20000-20500)端口进入访问
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
#iptables -A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#iptables -A INPUT -p tcp -s 0/0 --sport 20000:20500 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

# 允许PING(不允许的话把下面那个删了就可以)
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#可选-记录接收数据包被拒绝(log-level=7)的日志,最高记录频率为5条/分钟,日志可通过dmesg或syslog查看
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# 禁止其它未允许的规则访问:
iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

以上命令输入完后如果需要查看当前防火墙规则,可使用以下命令:

iptables -L -n -v

保存当前规则并开机使用此规则

##删除默认规则
rm /etc/iptables/rules.v4
##添加新规则
iptables-save > /etc/iptables/rules.v4