一、limit:速率限制
-m limit 說明:
--limit 1000/s #設定最大平均匹配速率
--limit 5/m --limit-burst 15 #表示一開始能匹配的資料報數量為15個,每匹配到乙個,limit-burst的值減1,所以匹配到15個時,該值為0,每過12s,limit-burst的值會加1,表示又能匹配1個資料報
例子:iptables -a input -i eth0 -m limit --limit 5/m --limit-burst 15 -j accept
iptables -a input -i eth0 -j drop
注意要點:
1、--limit-burst的值要比--limit的大
2、limit本身沒有丟棄資料報的功能,因此,需要第二條規則一起才能實現限速的功能
二、time :在特定時間內匹配
-m time 說明:
--monthdays day1[,day2]
在每個月的特定天匹配
--timestart hh:mm:ss
在每天的指定時間開始匹配
--timestop hh:mm:ss
在每天的指定時間停止匹配
--weekdays day1[,day2]
在每個星期的指定工作日匹配,值可以是1-7
例子:iptables -a input -i eth0 -m time --weekdays 1,2,3,4 -jaccept
iptables -a input -i eth0 -j drop
三、ttl:匹配符合規則的ttl值的資料報
-m ttl 說明:
--ttl-eq 100
匹配ttl值為100的資料報
--ttl-gt 100
匹配ttl值大於100的資料報
--ttl-lt 100
匹配ttl值小於100的資料報
例子:iptables -a output -m ttl --ttl-eq 100 -j accept
四、multiport:匹配離散的多個埠
-m multiport 說明:
--sports port1[,port2,port3]
匹配源埠
--dports port1[,port2,port3]
匹配目的埠
--ports port1[,port2,port3]
匹配源埠或目的埠
例子:iptables -a input -m multiport --sports 22,80,8080 -j drop
五、state:匹配指定的狀態資料報
-m state 說明:
--state value
value可以為new、related(有關聯的)、established、invalid(未知連線)
例子:iptables -a input -m state --state new,established -j accept
六、mark:匹配帶有指定mark值的資料報
-m mac 說明:
--mark value
匹配mark標記為value的資料報
例子:iptables -t mangle -a input -m mark --mark 1 -j drop
拒絕特定的mac位址訪問
例子:iptables -a forward -m mac --mac-source 00:0c:24:fa:19:80 -j drop
其它引數詳解tcp連線狀態
[root@web01 scripts]# netstat -tun
proto recv-q send-q local address foreign address state
tcp 0 96 10.10.10.52:22 10.10.10.254:52032 established
listen 偵聽來自遠方的tcp埠的連線請求
syn-sent 再傳送連線請求後等待匹配的連線請求
syn-received 再收到和傳送乙個連線請求後等待對方對連線請求的確認
established 代表乙個開啟的連線
fin-wait-1 等待遠端tcp連線中斷請求,或先前的連線中斷請求的確認
fin-wait-2 從遠端tcp等待連線中斷請求
close-wait 等待從本地使用者發來的連線中斷請求
closing 等待遠端tcp對連線中斷的確認
last-ack 等待原來的發向遠端tcp的連線中斷請求的確認
time-wait 等待足夠的時間以確保遠端tcp接收到連線中斷請求的確認
closed 沒有任何連線狀態
iptables引數詳解
一 iptables 主要引數 a 新增規則到鍊錶末尾 i 新增規則到首部 t 操作的表,後面加表名,不加這個引數預設操作表為filter d 刪除表中規則,可以指定序列號或者匹配的規則來刪除 iptables t nat d prerouting 1 f 清空規則,重啟後恢復 iptables f...
iptables入門詳解
linux的防火牆體系主要工作在網路層,針對tcp ip資料報實施過濾和限制,屬於典型的包過濾防火牆 或稱網路層防火牆 iptables是乙個命令列防火牆實用程式,它使用策略鏈來允許或阻止通訊。當連線試圖在你的系統上建立自己時,iptables在它的列表中尋找一條規則來匹配它。如果找不到,則採取預設...
iptables命令詳解
iptabels root www iptables ai鏈名 io網路介面 p協定 s ip 網域 d目標ip 網域 j accept drop reject log 選項與引數 ai 鏈名 針對某的鏈進行規則的 插入 或 累加 a 新增加一條規則,該規則增加在原本規則的最後面。例如原本已經有四條...