Linux系统iptables防火墙学习2

不允许访问某一个域名:

iptables -A OUTPUT -d www.baidu.com -j DROP

端口匹配:

--sport 1000:3000  //匹配源端口是1000-3000的数据包(含1000、3000)
--dport :3000     //匹配目的端口是3000以下的数据包(含3000)
--sport 1000:     //匹配源端口是1000以上的端口
注意:
--sport 和  --dport 前面都必须配合-p参数使用 

地址匹配:

-s 10.1.0.0/24 -d 172.17.39.0/16
//匹配从10.1.0.0/24到172.17.39.0/16的所有数据包

端口和地址联合匹配:

-s 192.168.0.1 -d www.baidu.com -p tcp --dport 80
//匹配来自192.168.0.1去往www.baidu.com的80端口的TCP协议的所以数据包

动作:

ACCEPT
DROP
REJECT
SNAT
DNAT
MASQUERADE 

-j SNAT --to IP[-IP][:端口-端口](nat表的POSTROUTING链)

源地址转换,SNAT支持转换为单IP,也支持转换到IP地址池(一组连续的IP地址)

例如:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
//将内网192.168.0.0/24的源地址修改为1.1.1.1,用于NAT
iptables -t nat -A POSTROUTING -S 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
//将内网192.168.0.0/24的源地址修改为一个地址池里的IP

-j DNAT --to IP[-IP][:端口-端口](nat表的PRETOUTING链)

目的地址转换,DNAT支持转换为单IP,也支持转换到IP地址池(一组连续的IP地址)

例如:

iptables -t nat -A PREROUTING -i PPP0 -p tcp --dport 81 -j DNAT --to 192.168.0.1
//把从ppp0进来的要访问TCP/80的数据包地址转化为192.168.0.1

THE END
分享
二维码
打赏
< <上一篇
下一篇>>