扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
| -p TCP -s 192.168.1.24 -j ACCEPT | 接受所有来自 Jane (192.168.1.24) 的包 |
| -p TCP -d 192.168.0.0/19 -j DENY | 否决所有到达 Bob, Fred 和 Jane 的 TCP 包 |
| -p TCP -d 192.168.1.24 80 -j ACCEPT | 接受到达 Jane 机器80端口的所有 TCP 包 |
| -p TCP -d 192.168.1.24 www -j ACCEPT | 和上一命令类似,但用 www 来表示缺省的 Web 服务器端口。在 /etc/services 文件中定义了此端口。 |
| -p TCP -d 192.168.1.24 0:1024 -j DENY | 否决所有要到 Jane 的0到1024范围中任何一个端口的 TCP 包。 |
| -p TCP -d 192.168.1.24 www -j ACCEPT | 接收要到 Jane 机器上 www 端口(缺省情况下即80端口)的所有 TCP 包。 |
| -p TCP -d 192.168.1.24 ! www -j DENY | D 否决要到 Jane 机器上 www 之外任何端口的 TCP 包。命令中的感叹后(!)表示对它后面的值取非,这里即用 ! www 来表示除了 www 之外的所有端口值。 |
| -p TCP -d ! 192.168.1.24 www -j DENY | 否决要到除了 Jane 之外的其他机器 www 端口的所有 TCP 包。注意这条命令与上一条并不相同。 |
| -p TCP -d ! 192.168.1.24 ! www -j DENY | 否决所有要到 Jane 之外的其他机器,并且非 www 端口的 TCP 包。也就是说,它允许那些到达 Jane 的 www 端口的 TCP 包。尽量不要用这样的规则,以免引起混乱。 |
| -p ! TCP -d 192.168.1.24 -j DENY | 否决所有要到 Jane 机器上的 TCP 之外的数据包。 |
对于 UDP 协议,其工作情况类似。而对于支持 ping 和 traceroute 的 ICMP 协议则需要指定端口.
| -p ICMP -d 192.168.1.24 0 -j ACCEPT -p ICMP -d 192.168.1.24 8 -j ACCEPT | 接受对 Jane 的 ping 包。为了让 ping 正常工作,这两条规则(ICMP 端口0 和 8)必须分开写。 |
| -p ICMP -d 192.168.1.24 3 -j ACCEPT | 如果 Jane 机器上的用户试图访问一个远程站点,所返回的“无法到达” ICMP 消息允许通过。访问一些远程机器的 telnet 或其他服务时,常有这种没有回应的情况发生,因此通常都会使用这条规则。 |
| -p ICMP -d 192.168.1.24 11 -j DENY | 否决来自防火墙外部 traceroute 命令的数据包。 |
除了地址和协议信息,您还可以指定通过包的网络接口驱动程序。如果要加入考虑数据包的来源,是比较容易的,在指定过滤规则应用的网络端口时也很有用。
| -i eth0 -s 192.168.1.24 -j ACCEPT | 使用第一块以太网卡 (eth0) 来接受所有来自 Jane 的数据包。 |
| -i eth+ -s 192.168.1.24 -j ACCEPT | 可以用任何一块网卡 (eth+) 来接受来自 Jane 的数据包。 |
| -i ppp0 -p TCP -s 198.102.68.2 1025:65535 -j ACCEPT | 通过 ppp 接口,来接受所有来自 familiar (198.102.68.2) 1025 到 65535 端口之间的 TCP 包。 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号