1.清除已有iptables规则
iptables -F
iptables -X
iptables -Z

2.开放指定的端口
#允许本地回环接口(即运行本机访问本机)，允许loopback!(不然会导致DNS无法正常关闭等问题)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -i lo -p all -j ACCEPT

#允许访问80、443端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许访问25,110等邮件端口
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -p tcp --dport 465 -j ACCEPT

#应用端口
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

#允许办公IP段访问
iptables -A INPUT -s 10.0.0.0/8 -p tcp -m tcp -j ACCEPT
iptables -A INPUT -s 111.207.85.0/24 -p tcp -m tcp -j ACCEPT

#限制访问基本规则
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 1521 -j DROP
iptables -A INPUT -p tcp --dport 389 -j DROP
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 6379 -j DROP
iptables -A INPUT -p tcp -j DROP

3.删除已添加的iptables规则
iptables -L -n --line-numbers
iptables -D INPUT xxx

最后
/etc/init.d/iptables save
/etc/init.d/iptables restart

4.drop非法连接
iptables -A INPUT     -m state --state INVALID -j DROP
iptables -A OUTPUT    -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

5.允许所有已经建立的和相关的连接
iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

6.端口转发
iptables -t nat -A PREROUTING -d 210.38.224.226 -p tcp -m tcp --dport 22022 -j DNAT --to-destination 172.16.20.236:22
iptables -t nat -A POSTROUTING -d 172.16.20.236 -p tcp -m tcp --dport 22 -j SNAT --to-source 210.38.224.226

7.透明模式
iptables -t nat -A PREROUTING -d 202.116.48.21 -p tcp -m tcp --dport 1158 -j DNAT --to-destination 172.19.13.20
iptables -t nat -A POSTROUTING -d 172.19.13.20 -p tcp --dport 1158 -j MASQUERADE

solaris IP Filter 基本配置
ipfstat -io
svcs -a |grep network |egrep "pfil|ipf"
svcadm enable svc:/network/ipfilter:default
svcadm disable svc:/network/ipfilter:default