iptables 匹配條件（基礎）

阿新 • • 發佈：2019-02-03

連接數 icmp ports port days reject str 大數最大數

基本匹配條件

-s 用於匹配報文的源地址，可以同時指定多個源地址，每個IP地址用逗號分開，也可以指定網段

iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP
iptables -t filter -I INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -t filter -I INPUT ! -s 192.168.1.0/24 -j ACCEPT

-d 用於匹配報文的目標地址

iptables -t filter -I OUTPUT -d 192.168.1.111,192.168.1.118 -j DROP
iptables -t filter -I INPUT -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -I INPUT ! -d 192.168.1.0/24 -j ACCEPT

-p 用於匹配報文的協議類型

iptables -t filter -I INPUT -p tcp -s 192.168.1.146 -j ACCEPT
iptables -t filter -I INPUT ! -p udp -s 192.168.1.146 -j ACCEPT

-i 用於匹配報文從哪個網卡流入本機

iptables -t filter -I INPUT -p icmp -i eth4 -j DROP
iptables -t filter -I INPUT -p icmp ! -i eth4 -j DROP

-o 用於匹配報文從哪個網卡流出本機

iptables -t filter -I OUTPUT -p icmp -o eth4 -j DROP
iptables -t filter -I OUTPUT -p icmp ! -o eth4 -j DROP

擴展匹配條件

tcp擴展模塊，常用的擴展匹配條件：

-p tcp -m tcp --sport 用於匹配tcp協議報文的源端口

-p tcp -m tcp --dport 用於匹配tcp協議報文的源端口

iptables -t filter -I OUTPUT -d 192.168.1.146 -p tcp -m tcp --sport 22 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m tcp --dport 22:25 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m tcp --dport :22 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m tcp --dport 80: -j REJECT
iptables -t filter -I OUTPUT -d 192.168.1.146 -p tcp -m tcp ! --sport 22 -j ACCEPT

multiport 擴展模塊

-p tcp -m multiport --sports 用於匹配tcp協議報文的源端口

-p tcp -m multiport --dports 用於匹配tcp協議報文的源端口

iptables -t filter -I OUTPUT -d 192.168.1.146 -p udp -m multiport --sports 137,138 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport --dports 22,80 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport ! --dports 22,80 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport --dports 80:88 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.146 -p tcp -m multiport --dports 22,80:88 -j REJECT

iprange擴展模塊

--src-range:指定連續的源地址範圍
--dst-range:指定連續的目標地址範圍

iptables -t filter -I INPUT -m iprange --src-range 192.168.1.127-192.168.1.146 -j DROP
iptables -t filter -I OUTPUT -m iprange --dst-range 192.168.1.127-192.168.1.146 -j DROP
iptables -t filter -I INPUT -m iprange ! --src-range 192.168.1.127-192.168.1.146 -j DROP

string 模塊

--algo 指定對應的匹配算法（bm kmp）

--string 指定匹配的字符串

iptables -t filter -I INPUT -p tcp --sport 80 -m string --algo bm --string "OOXX" -j REJECT
iptables -t filter -I INPUT -p tcp --sport 80 -m string --algo bm --string "OOXX" -j REJECT

time模塊

--timestart 用於指定時間範圍的開始時間，不可取反

--timestop 用於指定時間範圍的結束時間，不可取反

-weekdays 用於指定星期幾，可取反

--monthdays 用於指定幾號，可取反

--datestart 用於指定日期範圍的開始日期，不可取反

--datestop 用於指定日期範圍的結束日期，不可取反

iptables -t filter -I OUTPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 443 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 80  -m time --weekdays 6,7 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 80  -m time --monthdays 22,23 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 80  -m time ! --monthdays 22,23 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 80  -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays 6,7 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 80  -m time --weekdays 5 --monthdays 22,23,24,25,26,27,28 -j REJECT
iptables -t filter -I OUTPUT -p tcp --dport 80  -m time --datestart 2017-12-24 --datestop 2017-12-27 -j REJECT

connlimit模塊（限制連接數量）

--connlimit-above 單獨使用此選項時，表示限制每個IP的連接數量

--connlimit-mask 此選項不能單獨使用，配合--connlimit-above，則可以針對“某類IP段內一定數量的IP”進行連接數量的限制

iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 --connlimit-mask 27 -j REJECT

limit模塊（限制報文的到達速率）

--limit-burst 指定令牌桶中令牌的最大數量
--limit 指定令牌桶中生成新令牌的頻率

iptables -t filter -I INPUT -p icmp -m limit --limit-burst 3 --limit 10/minute -j ACCEPT
iptables -t filter -A INPUT -p icmp -j REJECT

iptables 匹配條件（基礎）

連接數 icmp ports port days reject str 大數最大數基本匹配條件 -s 用於匹配報文的源地址，可以同時指定多個源地址，每個IP地址用逗號分開，也可以指定網段 iptables -t filter -I INPUT -s 192.168.1.

Linux防火牆之iptables常用擴充套件匹配條件（一）

　　上一篇博文講了iptables的基本匹配條件和隱式匹配條件，回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12269717.html；今天在來說說iptabels的一些常用的顯示擴充套件匹配條件，所謂顯示擴充套件匹配條件？顯示擴充套件匹配條件就是我們需要用到一些擴充

Linux防火牆之iptables常用擴充套件匹配條件（二）

　　上一篇博文我們講到了iptables的一些常用的擴充套件匹配模組以及擴充套件模組的一些選項的說明，回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12273755.html；今天再來說說剩下的幾個比較長用的擴充套件模組。　　1、limit，此模組主要是基於收發報文段

擬牛頓條件（轉載）

ges 轉載 com tail article cnblogs csdn image mage 轉載鏈接：http://blog.csdn.net/itplus/article/details/21896619擬牛頓條件（轉載）

iptables實用教程（二）：管理鏈和策略

否則命令顯示 accept 目的 number cep 存在當前末尾概念和原理請參考上一篇文章“iptables實用教程（一）”。本文講解如果管理iptables中的鏈和策略。下面的代碼格式中，下劃線表示是一個占位符，需要根據實際情況輸入參數，不帶下劃線的表示是

Python開發（基礎）：運算符

運算符1、算數運算：2、比較運算：3、賦值運算：4、邏輯運算：5、成員運算：本文出自 “小冰” 博客，謝絕轉載！Python開發（基礎）：運算符

Python開發（基礎）：列表List

list python List 內置函數#!/usr/bin/env python # -*- coding:utf-8 -*- # class list(object): # """ # list() -> new empty list # list(iterabl

Python開發（基礎）：字符串

character python return 字符串字符串常用方法說明#!/usr/bin/env python# -*- coding:utf-8 -*-# class str(basestring):# """# str(object=‘‘) -> string#

集群環境分析及部署（基礎）

服務器檢測記錄能力健康集群概念：由兩個或兩個以上的服務實體協調、配合完成一系列工作的模式，對外表現為一個整體。特點分配用戶請求故障轉移共享存儲結構：agent 負載調度器業務層服務器池存儲共享存儲1.垂直擴展為同樣的計算資源池加入更多資源，比如增加更多內存、磁盤或

TabLayout 使用方法（基礎）

ted ima break hit widget 監聽 pri cti idt 此為布局文件 <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"

KMP練習——KMP模式匹配一（串）

字符 script == str end 練習 ext ring div Description 求子串的next值，用next數組存放，所有輸出 Input 輸入一個字符串 Output

關於html（基礎）

擁有 dset 標題 textarea add space nbsp ems label 1.關於html（基礎）在 HTML5 中，<cite> 標簽定義作品的標題。在 HTML 4.01 中，<cite> 標簽定義一個引用。

防火墻iptables詳解（一）

主從dns服務器進行所有 out show mountd 讀取 ppp 概念 -- 防火墻常見的防火墻：瑞星　江民　諾頓　卡巴斯基　天網...... iptables firewalld http://www.netfilter.org/ netfilter

SaltStack之遠程執行【目標選擇匹配】（六）

二次配置 ast error entos argument 重啟需要是我練習內容 Salt遠程執行中目標選擇常用的模式 1.通配符匹配 2.正則表達式匹配 3.List支持 4.Grains匹配 5.IP地址匹配 6.混合匹配 7.Node grou

css選擇器（基礎）

掌握 class 就是 content tle 版本語法 tex 人物 CSS選擇器：一個樣式的語法是由選擇器+屬性+屬性值三部分組成；到底什麽是選擇器呢？答：個人直白的理解為：選擇一種要對它進行操作的標簽的方法就叫做選擇器。也就是說選擇器就

配置IPTABLES防火墻（1）

iptables linux 防火墻安全 iptables技能：需要熟悉linux防火墻的表，鏈結構；理解數據包匹配的基本流程；會管理和設置iptbables規則；會使用防火墻腳本的一般方法。 linux防火墻功能是由內核實現的： 2.0版本中，包過濾機制是ip

spark中flatMap函數用法--spark學習（基礎）

比較一次 ica 例子 tail details word fix spark spark中flatMap函數用法--spark學習（基礎）在spark中map函數和flatMap函數是兩個比較常用的函數。其中 map：對集合中每個元素進行操作。 fl

C語言程序設計（基礎）最後一次作業-- 總結報告

人際關系領域健康作用每次收獲會有做出理解一、總體總結 1、當初你是如何做出選擇計算機專業的決定的？經過一個學期，你的看法改變了麽，為什麽？你覺得計算機是你喜歡的領域嗎，它是你擅長的領域嗎？為什麽？當初填報誌願時，是我自己選擇的計算機專業，同時也采取

iptables防火墻（一）

表名基本語法 51cto 防火墻規則處理 cde process 命令語法 linux的防火墻體系主要工作在網絡層，針對TCP/IP數據包實施過濾和限制，屬於典型的包過濾防火墻（或稱為網絡層防火墻）。（1）在許多安全技術資料中，netfilter和iptables都用

iptables防火墻（二）

icm ofo tro 客戶機條件目的 ppp cto tina SNAT策略的典型應用環境局域網主機共享單個公網IP地址接入Internet SNAT策略的原理源地址轉換，Source Network Address Translation修改數據包的源地址局域網共享

iptables 匹配條件（基礎）

基本匹配條件

擴展匹配條件

tcp擴展模塊，常用的擴展匹配條件：

multiport 擴展模塊

iprange擴展模塊

string 模塊

time模塊

connlimit模塊（限制連接數量）

limit模塊（限制報文的到達速率）

相關推薦