linux防火墙之牛刀小试

　　上一篇文章“iptables之语法初步”有说到iptables的基本命令,配合实际的操作指令应该可以实现基本的iptables操作.那么如果要实现将规则应用于实际的生产环境中,还需要了解以下的内容.

匹配注意：

　　? Ip地址或者主机名（主机名可以解析）
? 端口号码或者是服务名字22 or ssh（ 对应到/etc/service )
? 排除可以用“！”

　　? 一段端口可以用“:” 比如‘0:1024’
? 子网掩码可以使用vlsn或者cidr的方式
cidr: 10.0.1.0/24 vlsn :10.0.1.0/255.255.255.0

一：按网络接口匹配

-i <匹配数据进入的网络接口>

例如：

　　-i eth0　　匹配是否从网络接口 eth0 进来
-i ppp0　　匹配是否从网络接口 ppp0 进来

-o 匹配数据流出的网络接口

例如：

　　-o eth0
-o ppp0

二：按来源目的地址匹配

-s <匹配来源地址>

　　可以是 IP、NET、DOMAIN,也可空（任何地址）

例如：

　　 -s 192.168.0.1 匹配来自 192.168.0.1 的数据包

　　 -s 192.168.1.0/24 　　 匹配来自 192.168.1.0/24 网络的数据包

　　 -s 192.168.0.0/16 　　 匹配来自 192.168.0.0/16 网络的数据包

-d <匹配目的地址>

可以是 IP、NET、DOMAIN,也可以空

例如：

　　 -d 202.106.0.20 匹配去往 202.106.0.20 的数据包

　　 -d 202.106.0.0/16 　　 匹配去往 202.106.0.0/16 网络的数据包

　　 -d www.abc.com 匹配去往域名 www.abc.com 的数据包

三：按协议类型匹配

-p <匹配协议类型>

　　可以是 TCP、UDP、ICMP 等,也可为空

例如：

　　-p tcp
-p udp
-p icmp --icmp-type 类型
ping: type 8 　　　　　　　　　pong: type 0

四：按来源目的端口匹配

--sport <匹配源端口>

　　可以是个别端口,可以是端口范围

例如：

　　 --sport 1000 匹配源端口是 1000 的数据包

　　 --sport 1000:3000 　　 匹配源端口是 1000-3000 的数据包（含1000、3000）

　　 --sport :3000 　　 匹配源端口是 3000 以下的数据包（含 3000）

　　 --sport 1000: 　　 匹配源端口是 1000 以上的数据包（含 1000）

--dport <匹配目的端口>

　　可以是个别端口,可以是端口范围

例如：

　　 --dport 80 匹配源端口是 80 的数据包

　　假设192.168.2.5及192.168.0.10主机都为WEB Server,且我们在防火墙主机上执行“iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport -j REJECT”命令,请问：192.168.0.20可以该问到哪一台WEB Server？192.168.2.15可以该问到哪一台WEB Server？

本文出自 “虚拟的现实” 博客,请务必保留此出处http://waringid.blog.51cto.com/65148/410265

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!