-A INPUT -i lo -j ACCEPT #允許本機內部訪問,即回環
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允許本機訪問外部
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允許ping
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #允許22 shell連接
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #允許80訪問
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT #允許https訪問
-A INPUT -p tcp -m tcp --dport 3690 -j ACCEPT #允許svn訪問
-A INPUT -p tcp -m tcp --dport 3306 -j DROP #禁止mysql外部訪問
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3690 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20000:30000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable

特殊規則,用於防攻擊使用

#允許單個IP訪問服務器的80端口的最大連接數為 20 
iptables -I INPUT -p tcp --dport 80 -m connlimit  --connlimit-above 20 -j REJECT 

#抵禦DDOS ，允許外網最多24個初始連接,然後服務器每秒新增12個，訪問太多超過的丟棄，第二條是允許服務器內部每秒1個初始連接進行轉發
iptables -A INPUT  -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
 

iptables 一些有用的規則