迹忆客 专注技术分享

一、 添加一条规则，允许访问某个端口

$ iptables -A INPUT -p tcp --dport 3005 -j ACCEPT

增加一条规则，在 INPUT chain 追加一条规则，允许访问3005端口。 这种方式增加的规则只是临时保存在内存中的，只要当iptables服务重启之后，该规则就失效了。

如果想要使得该条规则永久生效，也就是在iptables服务重启之后该规则依然有效，那就需要用到命令iptables-save来实现我们这一目标。

$ iptables-save

默认情况下，如果我们只是单纯这一条命令，只会在终端输出一堆规则，类似于下面的情况。

:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3005 -j ACCEPT
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT

这依然是不能生效的。其实我们知道iptables服务在启动的时候是有配置文件的——/etc/sysconfig/iptables。 所以我们有两种方式：

一、 将规则手动写入iptables

-A INPUT -p tcp -m tcp --dport 3005 -j ACCEPT

保存退出，重启服务可以生效

二、使用 iptables-save 重定向

我们在上面可以看到，iptables-save命令输出的其实就是/etc/sysconfig/iptables中的内容，只不过是增加了我们自己配置的规则，所以可以将输出的内容重定向到配置文件中

​$ iptables-save > /etc/sysconfig/iptables

最后有一点需要注意的是，-A 是追加一条规则，其实在很多时候，我们发现

​$ iptables -A INPUT -p tcp --dport 3005 -j ACCEPT

是不能生效的，即使使用iptables-save更新了配置文件，也是不能成功的。

其实只要我们了解iptables的匹配规则，就很好理解了。当某一条规则匹配之后，后面的规则不再去匹配，即使后面还有符合要求的规则。在iptables默认配置文件中，有这么一条规则

​-A INPUT -j REJECT --reject-with icmp-host-prohibited

拒绝所有的对该主机的访问。只要前面的规则没有相匹配的，那这条是肯定能匹配的。所以 -A INPUT 是在这一条后面追加规则，肯定不能被访问到。

因此，我们可以使用 -I INPUT 在 chain INPUT 里插入一条规则，插入的这一条是在最前面的，所以可以匹配到。

​$ iptables -I INPUT -p tcp --dport 3005 -j ACCEPT