注意：服务器为CentOS 7，并且CentOS 7自带iptables，但不自带iptables-services

现在需要用iptables限制一个mysql服务只能由指定的ip访问

似乎不难，于是网上查了一波，首先查到了这个

# 配置IPTABLES

iptables -A INPUT -s 允许访问的ip -p tcp --dport 3306 -j ACCEPT

iptables -A INPUT -p tcp --dport 3306 -j REJECT

执行完后使用iptables -L -n命令可以查看当前所有的iptables规则

我们刚才执行的命令设置的是INPUT，所以我们这里只看INPUT【演示截图中我执行了两句，允许127.0.0.1，禁止其他】结果如下图所示

iptables-input链

看起来没问题对吧，但是其实它就有问题了（说简单点就是，防火墙没有起作用，啥ip都能访问他）

于是我再测试了一次，这次我只执行禁止所有ip访问的命令，一个ip我都不允许

很遗憾，并没有什么卵用，不管是别的服务器的登录mysql或着百度搜出来的端口扫描，统统都能访问

所以是为什么呢

因为mysql服务是用docker起的，docker自己会往系统中注册一个虚拟网卡叫docker0，访问docker服务的流量会直接被转发到docker0这张网卡上，所以iptables规则是独有的，刚才设置的INPUT对docker服务是不生效的

未完成需求再次执行下图是docker规则

iptables -I DOCKER -p tcp --dport 3306 -j DROP

iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT

iptables -L -n

就可以看到DOCKER规则中新增了两条，一条是禁止所有访问，一条是允许127.0.0.1访问

iptbales-Docker链

这时再测试就如我们所愿了

如果细心的话应该会发现这次执行的命令是先禁止，后允许，而上面第一个代码块中的命令顺序是先允许后禁止，这两个顺序其实都是对的，

因为第一个代码块中是iptables -A，-A的意思是加在最后，而iptables的匹配顺序是从上到下，所以用-A往最后追加的话，那就是【先写先匹配】

而第二个代码块中的写法是iptables -I，-I的意思是加在最前，也就是上面截图中的效果，可以看到我加的这两条，明显是在规则链的最前面，那用-I往前追加的话，就是【先写后匹配】了

到这里，通过iptables限制3306端口只允许指定ip访问，已经实现了.

补充：

上面进行的设置系统重启后就会消失，可以保存iptables的配置文件：

保存配置：

1）iptables-save > /etc/sysconfig/iptables

2）用iptables-service保存【这个做法需要安装iptables-services，实际效果和上面那句一样】

      service iptables save

还原配置：

1）iptables-restore < /etc/sysconfig/iptables

2）手动重启iptables【这个做法需要安装iptables-services】

     systemctl restart iptables

出现的现象：包含docker规则链的iptables防火墙是无法完成开机生效的，开机生效的只能是系统自带的INPOUT、FORWORD、OUTPUT、PREROUTING规则。

这是原因： 服务器重启后，iptables服务先启动，启动后会去加载备份的配置文件，但是此时，docker服务还未启动，DOCKER规则链还未创建，所以虽然iptables有加载我们备份的配置，但他没法加载DPOCKER规则链上的内容，从而导致DOCKER规则链上的规则没有成功加载。而docker启动后，DOCKER规则链就存在了，这时不管是手动让iptables加载配置文件还是直接重启iptables，之前备份的DOCKER规则就都能成功加载了。

################################################################################################

1）iptables常用命令小计：

 #列出所有iptables规则      

iptables -L -n       

#列出所有iptables规则，并显示编号【有编号才好删】

iptables -L -n --line-number

#备份iptables防火墙规则到指定的文件中

iptables-save > 文件绝对路径将当前iptables规则保存到指定文件中

#从指定文件还原iptables防火墙规则

iptables-restore < 文件绝对路径从指定文件中加载iptables规则

2）iptables防火墙添加小计：

#禁用192.168.116.1~192.168.116.20 经过网卡eno1的目的 IP为192.168.116.116的IP段 的 22-29 端口

iptables -I INPUT -m iprange --src-range 192.168.116.1-192.168.116.20 -p tcp -i eno1 -d 192.168.116.116 --dport 22:29  -j DROP

#删除规则：

先查询：iptables -L -n --line-number

在删除：iptables -D INPUT   2

其中INPUT 指的是链，2指的是编号