最近这个星期时间都会比较紧,哎,没办法,只能抽点时间加班加点完成基本任务了!

今天主要学了iptables的一些规则设置。由于时间问题,我就只简要的做个记录了。

-s 源地址,指数据包从哪来的.可以是具体ip,也可以是一个网段

-d 目的地址,指数据包要到哪里去。可以是具体ip.也可以是一个网段

-p 协议类型,指tcp,upd,icmp (注意,如果使用--sport,--dport时,必需指定-p选项,不然会报错!)

--sport 源端口,指数据包是从哪个端口发出的。可以指定某个端口,也可以指定端口范围

--dport 目的端口,指数据包要发送到目的端的哪个端口。可以指定某个端口,也可以指定端口范围

-i 定义入站接口,指明进站规则所生效的接口。如eth0,eth1,lo等

-o 定义出站接口,指明出站规则所生效的接口。如eth0,eth1,lo等

-m 使用iptables的扩展模块,常见的模块有mac,state

--state 状态模块,主要又包括 ESTABLISHED,INVALID,RELATED,NEW四个模块。分别指连机成功的连机状态,无效的数据包,发送出去返回数据包,新的连接建立数据包。

--mac-source mac地址模块,主要对相应的mac地址进行条件控制。

实例说明:

iptables -I INPUT 1 -i eth0 -s 195.45.99.90 -p tcp --dport 22 -j DROP

插入一条编号为1的规则,阻止来自195.45.99.90IP地址的主机进行ssh登录偿试!这是现实中存在的一台扫描主机,总是不停的利用22端口偿试登录我的服务器!幸好一直没成功。 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

允许已经建立连接的数据包和已返回的请求包进入服务器。

iptables -A INPUT -m state --state INVALID -j DROP

禁止不合法的数据包通过

iptables -A INPUT -m mac --mac-source 00-50-56-C0-00-10 -j DROP

禁止mac为00-50-56-C0-00-10的主机访问服务器。

好了,今天就粗略的写到这里吧。其实写这些的目的主要也就是加深自己的记忆。随便写了。写得不好,可能只有我自己看得懂了。呵呵~ 睡觉!