歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux教程

iptables模塊和用戶自定義鏈

multiport模塊

可以使用multiport模塊統一一次指定多個端口。

在寫規則時,必須指定“ -m ”參數來檢查狀態

-m  stat --state  檢測包狀態

-m multiport這個模塊可以匹配一組源或者目的的端口號,最多達15個端口;

如後面跟:

--source-ports  22,80

--destination-ports 80,53,110,443

如下面完整示例:

1、iptables -A INPUT -p all -m state --state  ESTABLISHED,RELATED  -j  ACCEPT

2、Iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 21,80,443,8080 -j ACCEPT

iprange 模塊

當需要為防火牆指定一段連續的IP地址時,這時最原始的方法,你可能需要添加很多條防火牆規則記錄,而且一旦之後需要對其更改,那工作量也不小。而此時,我們可以利用iprange 模塊的優勢,將原本需要多條規則記錄的方式,精簡成一條規則。當然前提需要是連續的IP段。

如下面完整示例:

Iptables -A INPUT -m iprange --src-range 192.168.0.100-192.168.0.120 -j ACCEPT

處理方法

Netfilter內置了一些簡單的處理方法:

ACCEPT和DROP處理方法,這兩種是最常見的處理方法,分別是允許與不允許數據包進入系統。

如:

iptables -A INPUT -p tcp -d 192.168.0.0/24 -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.1.0/24 -j DROP

QUEUE處理方法

這種處理方法,首先需要經過netfilter的條件匹配,若符合,則主要是依賴用戶空間的應用程序來進一步地對數據包進行處理,分析,然後再經過選擇後將數據包傳出。而在用戶空間的應用程序可以是“殺毒軟件”,“郵件過濾分析軟件”但目前對應這種機制的的應用程序非常少。

如:

iptables -A FORWARD -p tcp -d 192.168.0.200 --dport 25 -j QUEUE

RETURN處理方式

以上的幾種處理方式大家可能都比較熟悉,還有一種RETURN的方式大家知道麼?要來了解RETURN方式,需要先了解用戶自定義鏈的概念。

Copyright © Linux教程網 All Rights Reserved