iptables 配置

1）保存防火墙配置文件信息
    cp /etc/sysconfig/iptables{,.bak}

　 2）清除配置规则
    iptables -F    <- 清空iptables所有规则信息（清除filter）
    iptables -X    <- 清空iptables自定义链配置（清除filter）
    iptables -Z    <- 清空iptables计数器信息（清除filter）

　 3）别把自己踢出到门外
    iptables -A INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT

　 4）配置防火墙filter上各个链的默认规则
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

　 -P   ---指定相应链的默认规则策略，是允许还是阻止

　 5）允许iptables服务端ping自己的网卡地址
    iptables -A INPUT -i lo -j ACCEPT   --- 让自己可以ping自己

　 6）指定外网可以访问的端口信息
    iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT

　 7）企业中内网之间不要配置防火墙策略
    iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT  --- 允许架构内部服务进行访问

　 8）企业之间有合作关系的，不要将友商的网络禁止（主要经常改动）
    iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT    --- 允许一些合作企业的外网服务器进行访问
    iptables -A INPUT -s 10.0.2.0/24 -j ACCEPT

　 9）如果防火墙上配置了FTP服务，需要配置网络状态机制
    iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT  --- 允许web服务与ftp服务器建立连接

　10）实现iptables策略配置永久保存
    ①. 利用防火墙启动脚本命令参数，实现永久保存
    /etc/init.d/iptables save
    ②. 利用防火墙配置信息保存命令，实现永久保存
    iptables-save >/etc/sysconfig/iptables