分类: LINUX
2009-07-11 13:53:46
1. 禁止客户机访问不健康的网站
添加iptables规则禁止用户访问域名为的网站
iptables –I FORWARD –d –j DROP
2. 禁止某些客户机上网
添加iptables规则禁止IP为192.168.100.1的客户机上网
iptables –I FORWARD –s 192.168.100.1 –j DROP
3. 禁止客户机访问某些服务
添加iptables规则禁止IP为202.17.61.4的客户机使用FTP协议下载
iptables –I FORWARD –s 202.17.61.4 –p tcp ---dport 21–j DROP
4. 强制访问指定的站点
添加iptables规则强制所有客户机访问210.21.118.68这台web服务器
iptables –t nat --I PREROUTING –i etho –p tcp --dport 80 –j DNAT --to 210.21.118.68:80
5. 禁止使用ICMP协议
添加iptables规则禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但是允许内网的客户机ping
iptables –I INPUT–i ppp0 –p icmp –j DROP
6. 发布内网服务器
添加iptables规则发布内网192.168.100.2主机的web服务器,Internet用户可以通过接口eth0的ip地址即可以访问该主机的web服务
iptables –t nat -I PREROUTING –i eth0 –p tcp --dport 80 –j DNAT --to–destination 192.168.100.2:80
7. 智能DNS服务
添加iptables规则将所有从eth0接口进入的DNS请求都发送到IP为61.144.56.101这台服务器解析
iptables –t nat --I PREROUTING –i eth0 –p udp --dport 53 –j DNAT --to–destination 61.144.56.101:80
8. 匹配指定协议之外的所有协议。
iptables -A INPUT -p !tcp
9. 匹配指定主机之外的地址。
iptables -A FORWARD -s !192.168.0.19
10. 匹配源端口范围。
iptables -A INPUT -p tcp --sport 22:80
11. 匹配多个源端口。
iptables -A INPUT -p tcp -m multiport --sport 22,53,80,110
12. 匹配多个目的端口。
iptables -A INPUT -p tcp --m multiport --dpoort 22,53,80
13. 匹配多端口(无论是源端口还是目的端口)
iptables -A INPUT -p tcp --m multiport --port 22,53,80,110
iptables 封端口问题
iptables -I INPUT -j DROP -p tcp --dport 135:139
iptables -I FORWARD -j DROP -p tcp --dport 135:139
iptables -I OUTPUT -j DROP -p tcp --dport 135:139
