iptables 規則速查

iptables的命令規則速查，沒有為了方便

iptables -a input -p tcp --dport 22 -j ulog --ulog-nlgroup 2

iptables -a input -p tcp --dport 22 -j ulog /

--ulog-prefix "ssh connection attempt: "

iptables -a input -p tcp --dport 22 -j ulog --ulog-cprange 100

iptables -a input -p tcp --dport 22 -j ulog --ulog-qthreshold 10

通用匹配：

! 表取反

options: -p, --protocol

example: iptables -a input -p tcp

comment: 不分大小寫，預設all。[協議列表: -p tcp,udp,icmp;取反: -p ! tcp]

options: -s, --src, --source

example: iptables -a input -s 192.168.1.1

comment: 單個，如192.168.1.1或192.168.1.1/255.255.255.255或192.168.1.1/32

網路，如192.168.0.0/24或192.168.0.0/255.255.255.0

options: -d, --dst, --destination

example: iptables -a input -d 192.168.1.1

comment: 同 -s

options: -i, --in-inte***ce

example: iptables -a input -i eth0

comment: 只能用於input，forward, prerouting這三個鏈。

介面名稱，如：eth0、ppp0等。

萬用字元+，-i + 匹配所有的包。-i eth+ 所有ethernet介面。

options: -o, --out-inte***ce

example: iptables -a forward -o eth0

comment: 同 -i

options: -f, --fragment

example: iptables -a input ! -f

comment: 用來匹配乙個被分片的包的第二片或及以後的部分。(注意碎片攻擊)

options: --sport, --source-port

example: iptables -a input -p tcp --sport 22

comment: 預設所有埠。連續埠 22:80,80:22,[0]:80,22:[65535], ! 22:80

options: --dport, --destination-port

example: iptables -a input -p tcp --dport 22

comment: 預設所有埠。連續埠 22:80,80:22,[0]:80,22:[65535], ! 22:80

options: --tcp-flags

example: iptables -p tcp --tcp-flags syn,fin,ack syn

comment: --tcp-flags all none匹配所有標記都未置1的包。

options: --sport, --source-port

example: iptables -a input -p udp --sport 22

comment: 同 tcp

options: --dport, --destination-port

example: iptables -a input -p udp --dport 22

comment: 同 tcp

options: --icmp-type

example: iptables -a input -p icmp --icmp-type 8

comment: iptables --protocol icmp --help 檢視型別

iptables -a input -m limit --limit 3/hour

iptables -a input -m limit --limit-burst 5

iptables -a input -m mac --mac-source 00:00:00:00:00:01

iptables -t mangle -a input -m mark --mark 1

iptables -a input -p tcp -m multiport --source-port 22,53,80,110

iptables -a input -p tcp -m multiport --destination-port 22,53,80,110

iptables -a input -p tcp -m multiport --port 22,53,80,110

iptables -a output -m owner --uid-owner 500

iptables -a output -m owner --gid-owner 0

iptables -a output -m owner --pid-owner 78

iptables -a output -m owner --sid-owner 100

iptables -a input -m state --state related,established

iptables -a input -p tcp -m tos --tos 0x16

iptables -a output -m ttl --ttl 60

iptables -n tcp_packets

iptables -a input -p tcp -j tcp_packets

iptables -a input -p tcp -j accept

iptables -a input -p tcp -j drop

iptables -t nat -a prerouting -p tcp -d 15.45.23.67 --dport 80 /

-j dnat --to-destination 192.168.1.1-192.168.1.10

iptables -a forward -p tcp -j log --log-level debug

iptables -a input   -p tcp -j log --log-prefix "input packets"

iptables -a input   -p tcp -j log --log-tcp-sequence

iptables -a forward -p tcp -j log --log-tcp-options

iptables -a forward -p tcp -j log --log-ip-options

iptables -t mangle -a prerouting -p tcp --dport 22 -j mark --set-mark 2

iptables -t nat -a postrouting -p tcp -j masquerade --to-ports 1024-31000

iptables -t nat -a prerouting -p tcp --dport 80 -j redirect --to-ports 8080

iptables -a forward -p tcp --dport 22 -j reject --reject-with tcp-reset

iptables -t nat -a postrouting -p tcp -o eth0 -j snat /

--to-source 194.236.50.155-194.236.50.160:1024-32000

iptables -t mangle -a prerouting -p tcp --dport 22 -j tos --set-tos 0x10

iptables -t mangle -a prerouting -i eth0 -j ttl --ttl-set 64

iptables -t mangle -a prerouting -i eth0 -j ttl --ttl-dec 1

iptables -t mangle -a prerouting -i eth0 -j ttl --ttl-inc 1

iptables -a input -p tcp --dport 22 -j ulog --ulog-nlgroup 2

iptables -a input -p tcp --dport 22 -j ulog /

--ulog-prefix "ssh connection attempt: "

iptables -a input -p tcp --dport 22 -j ulog --ulog-cprange 100

iptables -a input -p tcp --dport 22 -j ulog --ulog-qthreshold 10

iptables 生產規則

bin bash etc init.d iptables stop iptables a input p tcp dport 80 j accept iptables a input p tcp dport 21 j accept iptables a input s 192.168.17.0 24...

IPTABLES 清空規則

iptables f 然後重新啟用的話 bin iptables.sh root ctc wh 1 176 iptables l chain input policy accept target prot opt source destination chain forward policy acc...

iptables規則新增

編輯iptables.rules完後 執行 iptables restore etc iptables.rules debian系統這樣就預設開啟了防火牆規則,centos系統需要重新啟動防火牆。debian開機啟動iptables方式 vim etc network if pre up.d ipt...