service iptables stop

 iptables -P INPUT DROP

 iptables -P FORWARD DROP

 iptables -P OUTPUT ACCEPT

 iptables -A INPUT -p tcp --dport 21 -j ACCEPT

 iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 iptables -A INPUT -p tcp --dport 2222 -j ACCEPT

 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

 iptables -I INPUT -p tcp --dport 35000:35999 -j ACCEPT

service iptables save

service iptables restart

为了防止PHP木马往外发UDP包可以设置

iptables -A OUTPUT -p udp -d 8.8.8.8 --dport 53 -j ACEEPT

iptables -A OUTPUT -p udp -d 8.8.4.4 --dport 53 -j ACEEPT

iptables -A OUTPUT -p udp -j DROP

如果保存重启iptables之后发现无法PING外网，可继续添加

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

以上这2条规则必须添加，缺一不可，不然就PING 外网就找不到解析的DNS

最后规则内容为

# Generated by iptables-save v1.4.7 on Sat Nov 15 08:51:39 2014

*filter

:INPUT DROP [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -p tcp -m tcp --dport 35000:35999 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 80 -j DROP

-A OUTPUT -d 8.8.8.8/32 -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -d 8.8.4.4/32 -p udp -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -j DROP

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

COMMIT

# Completed on Sat Nov 15 08:51:39 2014