multiport模塊
可以使用multiport模塊統一一次指定多個端口。
在寫規則時,必須指定“ -m ”參數來檢查狀態
-m stat --state 檢測包狀態
-m multiport這個模塊可以匹配一組源或者目的的端口號,最多達15個端口;
如後面跟:
--source-ports 22,80
--destination-ports 80,53,110,443
如下面完整示例:
1、iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
2、Iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 21,80,443,8080 -j ACCEPT
iprange 模塊
當需要為防火牆指定一段連續的IP地址時,這時最原始的方法,你可能需要添加很多條防火牆規則記錄,而且一旦之後需要對其更改,那工作量也不小。而此時,我們可以利用iprange 模塊的優勢,將原本需要多條規則記錄的方式,精簡成一條規則。當然前提需要是連續的IP段。
如下面完整示例:
Iptables -A INPUT -m iprange --src-range 192.168.0.100-192.168.0.120 -j ACCEPT
處理方法
Netfilter內置了一些簡單的處理方法:
ACCEPT和DROP處理方法,這兩種是最常見的處理方法,分別是允許與不允許數據包進入系統。
如:
iptables -A INPUT -p tcp -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.1.0/24 -j DROP
QUEUE處理方法
這種處理方法,首先需要經過netfilter的條件匹配,若符合,則主要是依賴用戶空間的應用程序來進一步地對數據包進行處理,分析,然後再經過選擇後將數據包傳出。而在用戶空間的應用程序可以是“殺毒軟件”,“郵件過濾分析軟件”但目前對應這種機制的的應用程序非常少。
如:
iptables -A FORWARD -p tcp -d 192.168.0.200 --dport 25 -j QUEUE
RETURN處理方式
以上的幾種處理方式大家可能都比較熟悉,還有一種RETURN的方式大家知道麼?要來了解RETURN方式,需要先了解用戶自定義鏈的概念。