skill——iptables(四)

扩展匹配条件

一:udp 扩展模块

选项 说明
--sport 匹配报文的源端口
--dport 匹配报文的目标端口

和 tcp模块中的名称一样,不同的是, udp 模块中的 --sport 与 --dport 是用来匹配 UDP 协议报文的源端口与目标端口的
udp 模块与 tcp 模块类似,适用于 tcp 模块的使用方式同样适用于 udp 模块,multiport 也同样适用 udp 模块指定多个离散的端口
案例一:
udp 模块用法举例

二:icmp 扩展模块
如下图:icmp报文类型

案例二:
icmp 模块用法举例

  1. 禁止所有 icmp 类型的报文进入主机
  2. 禁止别人 ping 我们,我们可以 ping 其他人

    3.也可以使用报文的描述名称进行匹配

三:state 扩展模块
state 模块的 5 种状态:NEW、ESTABLISHED、RELATED、INVALID、UNTRCKED
案例三:
让只有回应我们的报文能够通过防火墙,如果是主动发送过来的新报文,则无法通过防火墙

详细介绍参考此链接

原文地址:http://blog.51cto.com/12384628/2307589

时间: 2024-10-12 01:26:37

skill——iptables(四)的相关文章

skill——iptables(二)

iptabls 查.增.删.改,保存 一:查 参数 说明 -t 指定要查看的表,默认为 filter 表 -L 列出表中规则 -v 查看详细信息 -x 显示计数器的精确值 -n 不对 IP 地址进行名称反解,直接显示 IP --line-number 显示规则的行号,可缩写为 --line 案例一:查询 fileter 表 INPUT 链中中的规则丢弃 ip:192.168.8ptables -t filter -vL INPUT下面介绍下每列的含义 列明 说明 pkts 匹配到的报文的个数 b

skill——iptables(三)

匹配条件 一:-s 源地址:指定 ip 时可用 "," 隔开,指定多个:也可以指定网段,用 "!" 取反注意:取反表示报文源地址 IP 不为 192.168.1.103 即满足条件,执行相应的动作实例如下: 二:-d 目标地址注意:1. 源地址表示报文从哪里来,目标地址表示报文要到哪里去,当目标主机有两块或以上网卡时,示例如下2. 上面说到 -s 的使用方法 -d 同样适用 案例一:指定来 80.174 网卡拒绝接收来自 80.138 的报文接着我们在 192.16

iptables 四表五链

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则.这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中. 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成. netfilter 组件也称为内核空间(ker

iptables四个表与五个链间的处理关系

转载自:http://www.linuxidc.com/Linux/2012-08/67505.htm netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则. 这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中. 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由

skill——iptables(五)

黑白名单 黑名单:即默认策略为 ACCEPT,链中规则对应的动作应该为 DROP 或 REJECT ,表示只有匹配到规则的报文才会被拒绝,没有匹配到规则的报文默认被放行白名单:即默认策略为 DROP 或 REJECT,链中规则对应的动作应该为 ACCEPT ,表示只有匹配到规则的报文才会被放行,没有匹配到规则的报文默认被拒绝也就是说:白名单时,默认所有人是坏人,只放行好人黑名单时,默认所有人是好人,只拒绝坏人案例一:简单的黑名单(默认策略为 ACCEPT,链中规则对应的动作为 DROP 或 RE

skill——iptables(六)

相关动作 REJECTLOGSNATDNATMASQUERADEREDIRECT详情请仔细阅读此博主文章 iptables 小结 1. 规则的顺序非常重要因为链中规则的顺序是自上而下的,当报文已经被前面的规则匹配到,iptables 会执行对应的动作,而后面即使有可以匹配到刚才已经执行过相应的动作的报文,也不会再执行相应的动作了(第一次匹配到规则的动作为 LOG 除外),所以,针对相同的服务规则,更严格的规则应该放在前面2.当规则中有多个匹配条件时,条件之间默认存在 "与" 的关系,即

Iptables四表五链

简述iptales四表五链及详细介绍iptables命令使用方法

简述iptales四表五链及详细介绍iptables命令使用方法 简述iptables四表五链(1)四表 filter:过滤规则表,根据定义的规则过滤符合条件的数据包 nat表:network address translation 地址转换规则表 mangle:修改数据标记规则表 raw:关闭nat表上启动的连接跟踪制,加快封包穿越防火墙的速度 (2)五chain(链) INPUT OUTPUT FORWARD PREROUTING POSTROUTING (3)表<-->链的关系 raw:

iptables学习笔记

1. 压力测试 ab host1 ab -n 100000 -c 40 http://192.168.1.112/ host2 netstat -an|grep 80|grep 192.168.1.114 |grep EST -c w 2. netfilter linux核心层内部的一个数据包处理模块 3. hook point(INPUT OUTPUT FORWARD PREROUTING POSTROUTING) 数据包在netfilter的挂载点 4. iptables 四张表(filte