|
TOS : 设置数据包的TOS字段(应用于MANGLE,要加上--set-tos 值) SNAT : 伪装数据包的源地址(应用于NAT表中POSTROUTING链,要加上--to-source ip地址 [ip地址] ) DNAT : 伪装数据包的目标地址(应用于NAT表中PREROUTING链,要加上--to-destination ip地址 ) LOG :使用syslog记录的日志 RETURN :直接跳出当前规则链
#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP (拒绝192.168.0.3主机发送icmp请求) # iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP (拒绝192.168.0.0网段ping 防火墙主机,但允许防火墙主机ping 其他主机) # iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP (拒绝防火墙主机向192.168.0.0网段发送icmp应答,等同于上一条指令) # iptables –A FORWARD –d www.sina.com -j DROP (拒绝转发数据包到www.sina.com,前提是www.sina.com必须被解析) # iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1 (NAT,伪装内网192.168.0.0网段的的主机地址为外网211.162.11.1,这个公有地址,使内网通过NAT上网,前提是启用了路由转发) # iptables –t nat –A PREROUTING –p tcp --dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5 (把internet上通过80端口访问211.168.11.1的请求伪装到内网192.168.0.5这台WEB服务器,即在iptables中发布WEB服务器,前提是启用路由转发) # iptables –A FORWARD –s 192.168.0.4 –m mac --mac-source 00:E0:4C:45:3A:38 –j ACCEPT (保留IP地址,绑定 IP地址与MAC地址) ⑵删除规则 # iptables –D INPUT 3 # iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT ⑶插入规则 # iptables –I FORWARD 3 –s 192.168.0.3 –j DROP # iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP ⑷修改规则 # iptables –R INPUT 1 –s 192.168.0.2 –j DROP ⑸显示规则 # iptables –L (默认表中的所有规则) # iptables –t nat –L POSTROUTING ⑹清空规则 # iptables –F # iptables –t nat –F PREROUTING ⑺设置默认规则 # iptables –P INPUT ACCEPT # iptables –t nat –P OUTPUT DROP (注:默认规则可以设置为拒绝所有数据包通过,然后通过规则使允许的数据包通 过,这种防火墙称为堡垒防火墙,它安全级别高,但不容易实现;也可以把默认 规则设置为允许所有数据包通过,即鱼网防火墙,它的安全级别低,实用性较差。) ⑻建立自定义链 # iptables –N wangkai ⑼删除自定义链 # iptables –X wangkai ⑽应用自定义链 # iptables –A wangkai –s 192.168.0.8 –j DROP # iptables –A INPUT –j wangkai (注:要删除自定义链,必须要确保该链不被引用,而且该链必须为空,如要删除上例定义的自定义链方法为:# iptables –D INPUT –j wangkai # iptables -F wangkai |
