防在终端下配iptables将自己封掉

前几天在用iptables封一些端口；

我的做法是先用netstat查看本机都有开哪些端口，确定端口的使用程序；

然后使用

?

]#iptables -P INPUT DROP; iptables -P OUTPUT DROP; iptables -P FORWARD DROP; iptables -A INPUT -p tcp --dport 80 -j ACCEPT; iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT; iptables -A INPUT -p tcp --dport 22 -j ACCEPT; iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT; iptables -A INPUT -p tcp --dport 21 -j ACCEPT; iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT;

?

?

这样用

?

]#iptables -L -n

?

就可以查看防火墙当前规则

?

不过当时忽略了先用nestat查看本机都在使用哪些端口，造成了web中80端口即使开启也无法访问。

?

于是想说先用

?

]#iptables -F

?

?

清除规则，然后重新查看都有使用哪些端口。

?

结果悲剧来了：iptables中的规则变成了all drop；

?? ? ? ? ? ? ? ? ? ? 自己把自己封在外面了；

?? ? ? ? ? ? ? ? ? ? 因为服务器是在另外一个城市，不能立刻去改iptables设置，所以服务只能暂时暂停；

?

为此我的总结是：敲回车前要想清楚，确定你知道你在做什么；

?? ? ? ? ? ? ? ? ? ? ? ?要认真对待每一个命令；

?

同时，我也写了个shell脚本来防止此类事情再次发生：

?

使用方法就是在你配iptables之前运行

?

]#nohup sh iptables-safe.sh > safe.out 2>&1 &

? ?

其实简单的说直接输入

?

]#nohup sh iptables-safe.sh &

?

这样就好了

?

这个脚本是每60秒检测一次你的终端进程是否在，如果不在，则自动重启；

因此在配置完iptables之后，保存iptables的同时，记得kill 掉这个进程，否则你断开后服务器自动重启可是于我无关。。。

?

iptables-safe.sh在附件中下载