Linux防火墙iptables(下)

一、通用匹配

1,协议匹配

Linux防火墙iptables(下)_第1张图片

2,地址匹配

Linux防火墙iptables(下)_第2张图片

 3,接口匹配

Linux防火墙iptables(下)_第3张图片

二、隐含匹配

1.端口匹配 

Linux防火墙iptables(下)_第4张图片

 2,TCP标志位匹配

Linux防火墙iptables(下)_第5张图片

 3,ICMP类型匹配

ICMP类型可以是字符串、数字代码

ICMP类型 含义
Echo-Request (代码为8) 表示请求
Echo- -Reply (代码为0) 表示回显
Dest ination-Unreachable (代码为3) 表示目标不可达

 Linux防火墙iptables(下)_第6张图片

Linux防火墙iptables(下)_第7张图片

 4,回显匹配

Linux防火墙iptables(下)_第8张图片

 三、显示匹配

要求以“-m扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件

 1,多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

Linux防火墙iptables(下)_第9张图片

2,IP范围匹配

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

Linux防火墙iptables(下)_第10张图片

3,MAC匹配

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC地址的数据包通过本机转发

-m mac -- -mac- source MAC地址 

4,状态匹配

-m state --state连接状态

常见的连接状态

状态 含义
NEW 主机连接目标主机,在目标主机上看到的第一个想要连接的包
ESTABLISHED 主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
RELATED 主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED 配合使用
INVALID 无效的封包,例如数据破损的封包状态


 

你可能感兴趣的:(linux,运维,服务器)