iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# 先把所有规则打开，则否ssh可能直接断掉

iptables -F
iptables -X
# 清除已有规则 

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 先把ssh端口加上

iptables -P INPUT DROP
iptables -P FORWARD DROP
# 设置INPUT和FORWARD为封锁

 
iptables -A INPUT -i lo -j ACCEPT
# 开启本地环路，使得ping 127.0.0.1这样的包以通过。php-fpm的[http://127.0.0.1:9000](http://127.0.0.1:9000/)可以使用

iptables -A INPUT -p icmp -j ACCEPT
# 允许其它机器ping这台服务器

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许自己发送包的返回通信，不开启这个，机器上面使用ping www.google.com这样的无法拼通

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 开放web端口

/etc/init.d/iptables save

# 保存设置
/etc/init.d/iptables restart

# 重启iptables

linux web服务器iptables设置
http://zshou.is-programmer.com/posts/38730.html

使用iptables配置防火墙后本机无法访问外部网络
http://www.netingcn.com/iptables-localhost-not-access-internet.html

我的iptables

# Generated by iptables-save v1.4.7 on Thu Jan 14 21:46:43 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6816 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Thu Jan 14 21:46:43 2016