iptables -A INPUT -p TCP -i $EXTIF --dport 20 -j ACCEPT # ftp
iptables -A INPUT -p TCP -i $EXTIF --dport 21 -j ACCEPT # ftp
iptables -A INPUT -p TCP -i $EXTIF --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p TCP -i $EXTIF --dport 25 -j ACCEPT # SMTP
iptables -A INPUT -p UDP -i $EXTIF --sport 53 -j ACCEPT # DNS
iptables -A INPUT -p TCP -i $EXTIF --sport 53 -j ACCEPT # DNS
iptables -A INPUT -p TCP -i $EXTIF --dport 80 -j ACCEPT # WWW
iptables -A INPUT -p TCP -i $EXTIF --dport 110 -j ACCEPT # POP3
iptables -A INPUT -p TCP -i $EXTIF --dport 443 -j ACCEPT # HTTPS
-------------------
关闭ICMP服务
iptables -A OUTPUT -p icmp -d 0/0 -j DROP
阻止来自这个ip的数据流
iptables -A INPUT -s 200.200.200.1 -j DROP
说明:这个命令里200.200.200.1/24 200.200.200.* 格式都是有效的
禁止来自这个mac地址的数据流:
iptables -A INPUT --mac-source 00:0B:AB:45:56:42 -j DROP
1.内容过滤
iptables -I FORWARD -m string --string "腾讯" -j DROP
iptables -I FORWARD -s 192.168.3.159 -m string --string"qq.com"-j DROP
iptables -I FORWARD -d 192.168.3.0/24 -m string --string "宽频影院"-jDROP
iptables -I FORWARD -s 192.168.3.0/24 -m string --string "色情"-jDROP
iptables -I FORWARD -p tcp --sport 80 -m string --string "广告"-jDROP
2.备注应用
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP-mcomment --comment "the bad guy can not online"
iptables -I FORWARD -s 192.168.3.159 -m string --string"qq.com"-j DROP -m comment --comment "denny go to qq.com"
3.并发连接应用
iptables -I FORWARD -s 192.168.3.159 -p tcp --syn --dport 80-mconnlimit --connlimit-above 3 --connlimit-mask 24 -j DROP
4.ip范围应用
iptables -A FORWARD -m iprange--src-range192.168.1.5-192.168.1.124 -j ACCEPT
5.每隔N个匹配
iptables -t mangle -A PREROUTING -m nth --every 10 -j DROP
6.封杀BT类P2P软件
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
7.配额匹配
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -mquota--quota 500 -j DROP
iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -mquota--quota 500 -j ACCEPT
阅读(888) | 评论(0) | 转发(0) |