【iptables】编写iptables防火墙规则-2

来自书籍：防线-企业Linux安全运维理念和实战

一、常用规则

1、  接受来自指定IP地址的流入数据包：

# iptables –A INPUT –s 192.168.1.100 –j ACCEPT

2、  只接收来自指定端口（服务）的数据包：

# iptables –A INPUT –-dport 80 –j ACCEPT

3、  允许转发所有到本地SMTP服务器的数据包：

# iptables –A FORWARD –p tcp –d 192.168.1.100–dport smtp –i eth0 –j ACCEPT

4、  允许转发所有到本地的UDP数据包：

# iptables –A FORWARD –p udp –d 192.168.80.0/24–i eth0 –j ACCEPT

5、  拒绝法网www服务器的请求包：

# iptables –A FORWARD –p tcp –d 192.168.1.100–dport www –I eth0 –j REJECT

6、  允许目的地为指定端口的TCP数据包进入：

# iptables –A INPUT –p tcp –m multiport –dport21,53,80,25,110 –j ACCEPT

7、  允许来源为指定端口的TCP数据包进入：

# iptables –A INPUT –p tcp –m multiport –sport21,53,80,25,110 –j ACCEPT

8、  丢掉SYN和ACK标志位置的数据包：

# iptables –A INPUT –p tcp –tcp-flags ALLSYN,ACK –j DROP

二、碎片检测及流量控制

1、  允许ip MTU分片碎片通过

# iptables –A INPUT –p tcp –f –s 192.168.1.0/24–d 172.16.0.0/16 –j ACCEPT

与 

#iptables –A INPUT –p tcp 192.168.1.0/24 –d 172.16.0.0/16 –j ACCEPT

不同；

2、流量限制：

# iptables –A INPUT -p tcp -m limit --limit 200/second
# iptables –A INPUT -p tcp -m limit --limit 10000/minute
# iptables –A INPUT -p tcp -m limit --limit-burst200

转载于:https://blog.51cto.com/oslibo/1857776