Iptables -m 扩展

-m state 
      --state {NEW,ESTATBLISHED,INVALID,RELATED}  指定检测那种状态

iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

-m multiport 指定多端口号
      --sport
      --dport
      --ports

iptables -A INPUT -p tcp -m multiport --dport 22,80,8080 -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --sport 22,80,8080 -j ACCEPT

-m iprange 指定IP段
      --src-range ip-ip
      --dst-range ip-ip

iptables -A INPUT -p tcp -m iprange --src-range 100.0.0.0/24 --dport 80 -j ACCEPT

iptables -A OUTPUT

-m connlimit 连接限定
      --comlimit-above # 限定大连接个数
-m limit 现在连接速率,也就是限定匹配数据包的个数
      --limit  指定速率
      --limit-burst # 峰值速率,最大限定
-m string 按字符串限定
      --algo bm|kmp  指定算法bm或kmp
      --string "STRING" 指定字符串本身

时间: 2024-08-10 23:30:38

Iptables -m 扩展的相关文章

Linux防火墙之iptables常用扩展处理动作

前文我们讲了iptables的扩展匹配,一些常用的扩展模块以及它的专有选项的使用和说明,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/12285152.html:今天我们来说说iptables的处理动作:iptables的处理动作分基本处理动作和扩展处理动作,基本处理动作有ACCEPT和DROP 这两个动作很好理解,一个表示放行操作,一个表示丢弃操作.扩展处理动作有REJECT,这个动作表示拒绝,通常情况下建议都用DROP 去丢弃不想通过的报文,REJEC

iptables(3)扩展

显式扩展:必须显式指明使用的扩展模块(rpm-ql iptables | grep "\.so") CentOS6: man iptables CentOS7: man iptables-extensions 1.multiport扩展 以离散方式定义多端口匹配:最多指定15个端口: [!]--source-ports,--sports port[,port|,port:port]...:指明多个源端口: [!]--destination-ports,--dports port[,po

iptables匹配扩展详情

1.其实匹配扩展中,还有需要加-m引用模块的显示扩展,默认是隐含扩展,不要使用 -m, 状态检测的包过滤 -m state        指定检测那种状态 --state NEW         建立新的连接--state ESTABLISHED          已建立连接--state RELATED                 相关的--state INVALID                    无效的 -m multiport 指定多端口号      --sport     

iptables 详解(11)iptables的扩展动作2与最后总结

除了ACCEPT .DROP  .REJECT .LOG 认识几个新动作 SNAT .DNAT .MASQUERADE.REDIRECT 使用场景可能会是以下的场景: <场景1> 网络内部有10台主机,有各自的地址,网络内部的主机与其他网络中的主机通讯时,会暴露自己的ip地址,如果我们要隐藏这些地址可以这样做: 当网络内部的主机向网络外部主机发送报文, 报文===>防火墙或者路由器,将报文的源 IP修改为防火墙或者路由器的 IP地址,源端口也映射为某个端口,路由器维护一张NAT表(内部主

iptables之layer7扩展

L7-filter:    提供了更多的netfilter模块,可以基于应用层为iptables提供更多功能.类似的还有ipp2p. 注意:软件官网上表明支持的最新内核版本为2.6.x,已经好久没有更新了.3.x的内核未测试. 需要软件包:        kernel-xxx.tar.gz 内核源码包        iptables-xxx.tar.bz2 iptables源码包        netfilter-layer7-xxx.tar.gz l7源码包        l7-protoco

iptables man中文手册

名称        iptables - IP包过滤器管理 总览        iptables -ADC  指定链的规则  [-A  添加 -D 删除 -C 修改]        iptables - RI        iptables -D chain rule num[选项]        iptables -LFZ 链名 [选项]        iptables -[NX] 指定链        iptables -P chain target[选项集]        iptables

iptables基础笔记

1.iptables是什么 iptables是Linux上的一支防火墙服务程序,且由内核直接提供 2.iptables的基本工作方式 iptables通过"表"的形式管理进出主机网卡的数据流 默认的"表"有3张,分别为Filter(默认使用),Nat,Manager.我们的需求使用Filter表的情况居多,通过对比数据包头部信息与每张表中的规则,来决定处理数据流是放行还是丢弃. 3.1Filter"表"介绍 Filter是过滤器表,主要与想要进出

iptables,nftables sucks?

折腾了一下午空压机,失败,作罢!作为一个搞IT的,虽然不会去关注怎么修主板,但起码还是会持续关注自己感兴趣的那一面的,比如iptables,Netfilter等,对于空气压缩机,Python,气缸,C++对象模型之类的,不是我的菜啊!       在论坛看到有人吐嘈,简短的一句话:ipfwadm.. ipchains.. iptables.. nftables... progress sucks. :(是啊,我也这么觉得!记 得2006年毕业后的实习,曹老师让我第一次知道有个东西叫做iptabl

Iptables 规则 一些简单实例和详细介绍

设定规则 iptables -p INPUT DROP iptables -p OUTPUT ACCEPT iptables -p FORWARD DROP 1.防止外网用内网IP欺骗 iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP iptables -t nat -A PREROUTING -i e