1，來自103.36.166 這個“惡意”來源就丟棄

iptables -A INPUT -s 103.36.166 -j DROP


2，允許外部數(shù)據(jù)訪問本機80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT


3,允許外部來自80端口的數(shù)據(jù)訪問本機

iptables -A INPUT -p tcp --sport 80 -j ACCEPT #注意2,3例的不同


4,刪除“圖五”中 第5條規(guī)則 103.36.167

iptables -D INPUT 5


5,來自192.168.1.0/24網(wǎng)絡(luò)15-59928端口的數(shù)據(jù)包，不允許訪問本機ssh端口。

iptables -A INPUT -p tcp -s 192.168.1.0/24 --sport 15:59928 --dport ssh -j DROP


6，設(shè)置對本機的禁PING 103.36.165

iptables -A INPUT -p icmp --icmp-type 8 -j DROP # type 8 就是 echo request (回傳需求)，


注意：這條規(guī)則使用的是-A添加 如果防火墻策略本身有允許icmp type 8 則這條規(guī)則不會生效，需要使用-I 這個參數(shù)插入規(guī)則。

以上規(guī)則執(zhí)行后只是臨時生效重啟后會失效，如果要永久生效必須寫入配置文件

寫入防火墻規(guī)則配置文件：/etc/init.d/iptables save

dport(目標端口) 和sport（來源端口）字面意思來說很好理解，一個是數(shù)據(jù)要到達的目的端口，一個是數(shù)據(jù)來源的端口。

但是在使用的時候要分具體情況來對待，這個具體情況就是你的數(shù)據(jù)包的流動行為方式。（INPUT還是OUTPUT）

比如范例2，iptables -A INPUT -p tcp --dport 80 -j ACCEPT,

注意里面的INPUT參數(shù)，這個代表你的這條數(shù)據(jù)包的進行的 “進入” 操作！

那么這條數(shù)據(jù)包可以這么描述：凡進從外部進入本機的,數(shù)據(jù)要訪問的目標端口（dport）為80，都允許以上數(shù)據(jù)行為。（這里的目標端口就是80

再看范例3：iptables -A INPUT -p tcp -sport 80 -j ACCEPT

那么這條數(shù)據(jù)包可以這么描述：凡進從外部進入本機的,數(shù)據(jù)來源端口（sport）為80的（對方的數(shù)據(jù)包是80端口發(fā)送過來的），都允許以上數(shù)據(jù)行為。


iptables 詳解二之外掛模103.88.35


Iptables –A INPUT [-m state] [--state 狀態(tài)]


選項與參數(shù)：


-m:一些 iptables 的外掛模塊，主要常見的有：


state:狀態(tài)模塊


mac :網(wǎng)卡硬件地址


--state:一些數(shù)據(jù)包的狀態(tài)，主要有


INVALID :無效的數(shù)據(jù)包，例如數(shù)據(jù)破損對的數(shù)據(jù)包狀態(tài)


ESTABLISHED:已經(jīng)連接成功的連接狀


NEW :想要新建立的數(shù)據(jù)包狀態(tài)


RELATED :這個最常用，表示這個數(shù)據(jù)包是與主機發(fā)送出去的數(shù)據(jù)包有關(guān)。


03.范例舉例iptables外掛模塊運用


1，只要已建立連接或與已發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)包就予以通過，不合法數(shù)據(jù)包丟棄。 110.42.7


iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


iptables -A INPUT -m state --state INVALID -j DROP



2,針對局域網(wǎng)內(nèi) aa:bb:cc:dd:ee:ff 主機開放其連接


iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT


--mac-source 就是來源主機的mac


3，不允許本機訪問117.27.159.157的80端口 (此例和外掛模塊無關(guān)，補的一條舉例)


iptables -A OUTPUT -p tcp -d 117.27.159.157 --dport 80 -DROP


以上規(guī)則執(zhí)行后只是臨時生效重啟后會失效，如果要永久生效必須寫入配置文件


寫入防火墻規(guī)則配置文件：/etc/init.d/iptables save(這點同（4）)