iptables七層過濾

① 請教使用iptables屏蔽域名的方法

兩種方法：

1. drop 對這個域名的 dns 請求
   

   參考內：容http://ju.outofmemory.cn/entry/86709

2. 添加域名過濾模塊
   

   參考：http://bbs.chinaunix.net/thread-2170400-1-1.html
   

② 關於iptables做網關過濾數據包的一些問題

為了能採用遠程SSH登陸,我們要開啟22埠.

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
只允許.168.0.3的機器進行SSH連接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.

24表示子網掩碼數.但要記得把 /etc/sysconfig/iptables 里的這一行刪了.

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因為它表示所有地址都可以登陸.
寫 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的規則連接也一樣這么設置.

虛擬通道我沒明白你什麼意思，如果是指特定埠，上面就是，如果是指特定設備，舉個網卡的例子給你
開啟轉發功能,(在做NAT時,FORWARD默認規則是DROP時,必須做)

[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT

丟棄壞的TCP包

[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

處理IP碎片數量,防止攻擊,允許每秒100個

[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

設置ICMP包過濾,允許每秒1個包,限制觸發條件是10個包.

[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

上面的操作做完之後別忘了
[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣就可以寫到/etc/sysconfig/iptables文件里了.寫入後記得把防火牆重起一下,才能起作用．

[root@tp ~]# service iptables restart

③ 【緊急】linux iptables如何過濾TCP數據段的特定字元

layer 7 match.

④ 防火牆iptables的包過濾的基本流程

簡單地說來，就是設定一些規則，自對進來和出去的數據包的ip做檢查，符合規則的通行，不符合的做響應的處理，要了解這個流程中的三個表：
nat表，filter表，mangle表，
五條鏈：INPUT鏈，OUTPUT鏈，FORWARD鏈，PREROUTING鏈，POSTROUTING鏈。
1）對於進來的包：經過IP校驗後，經過第一條鏈PREROUTING處理，一般是做DNAT；然後經過路由，決定是到本地的還是需要轉發的包。
a、如果是到本地的，就經過INPUT鏈處理，比如過濾等，經過處理後發往上層協議。
b、如果是需要轉發的，經過FORWARD鏈處理，一般是做過濾，然後經過路由代碼，再經過POSTROUTING鏈處理（主要是做SNAT），再傳輸到網路上。
2）對於本地產生的包：先經過OUTPUT鏈處理，若過濾可以後，進行路由選擇處理，然後經過POSTROUTING做SNAT處理後發送到網路上。

大概的原理就是這樣，啰啰嗦嗦一對不如去看看netfilter網站，講得更清楚一些。

⑤ linux下iptables如何過濾同一網段的連續幾個IP

過濾來源地自址范圍：

iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
過濾目標地址范圍：

iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP

⑥ 如何使用iptables過濾pdf文件 iptables -A FORWARD -m -layer7 --l7proto pdf -j DROP 命令沒有用

如果你是防止公司內部資料外流，技術上實現了，但不是最好的辦法，應該是先擋，後放！

⑦ 如何用iptables 過溜掉某台主機發出的arp廣播包

以PC0------SW---------ROUTER---------PC1這個網路結構為例： 1.PC0開始Ping PC1，因為是跨網段的通信，所以要先發ARP包請求網回關的MAC地址答，要拿到網關的MAC地址才能正確封裝數據。這時ARP包里源ip地址為PC0的IP地址，源MAC地址為PC0的MAC地址...

⑧ 如何寫 iptables 規則來過濾運營商 HTTP 劫持

坐標四川移動光纖， DNS 已經全局走 SS 過濾了移動運營商的 53 埠的 DNS 劫持。因為經常用國內網站，所以回全局答 SS 不現實。搜索
目前存在的問題是京東、華為商城等網站有運營商 HTTP 劫持到返利鏈接，多次投訴工信部都沒有效果，因此想求助大家寫個 iptables 規則來過濾 HTTP 劫持，我放在 Openwrt 路由器上。

⑨ linux下iptables如何過濾同一網段的連續幾個IP

過濾源地址范圍：

iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP

過濾目標地址范圍：

iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP

⑩ 在進行「Linux之layer7應用層過濾」安裝編譯iptables時提醒錯誤

你貼出來的這一段沒看到錯誤