① 請教使用iptables屏蔽域名的方法
兩種方法:
drop 對這個域名的 dns 請求
參考內:容http://ju.outofmemory.cn/entry/86709
參考:http://bbs.chinaunix.net/thread-2170400-1-1.html
② 關於iptables做網關過濾數據包的一些問題
為了能採用遠程SSH登陸,我們要開啟22埠.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
只允許.168.0.3的機器進行SSH連接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子網掩碼數.但要記得把 /etc/sysconfig/iptables 里的這一行刪了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因為它表示所有地址都可以登陸.
寫 !192.168.0.3 表示除了192.168.0.3的ip地址
其他的規則連接也一樣這么設置.
虛擬通道我沒明白你什麼意思,如果是指特定埠,上面就是,如果是指特定設備,舉個網卡的例子給你
開啟轉發功能,(在做NAT時,FORWARD默認規則是DROP時,必須做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丟棄壞的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
處理IP碎片數量,防止攻擊,允許每秒100個
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
設置ICMP包過濾,允許每秒1個包,限制觸發條件是10個包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
上面的操作做完之後別忘了
[root@tp ~]# /etc/rc.d/init.d/iptables save
這樣就可以寫到/etc/sysconfig/iptables文件里了.寫入後記得把防火牆重起一下,才能起作用.
[root@tp ~]# service iptables restart
③ 【緊急】linux iptables如何過濾TCP數據段的特定字元
layer 7 match.
④ 防火牆iptables的包過濾的基本流程
簡單地說來,就是設定一些規則,自對進來和出去的數據包的ip做檢查,符合規則的通行,不符合的做響應的處理,要了解這個流程中的三個表:
nat表,filter表,mangle表,
五條鏈:INPUT鏈,OUTPUT鏈,FORWARD鏈,PREROUTING鏈,POSTROUTING鏈。
1)對於進來的包:經過IP校驗後,經過第一條鏈PREROUTING處理,一般是做DNAT;然後經過路由,決定是到本地的還是需要轉發的包。
a、如果是到本地的,就經過INPUT鏈處理,比如過濾等,經過處理後發往上層協議。
b、如果是需要轉發的,經過FORWARD鏈處理,一般是做過濾,然後經過路由代碼,再經過POSTROUTING鏈處理(主要是做SNAT),再傳輸到網路上。
2)對於本地產生的包:先經過OUTPUT鏈處理,若過濾可以後,進行路由選擇處理,然後經過POSTROUTING做SNAT處理後發送到網路上。
大概的原理就是這樣,啰啰嗦嗦一對不如去看看netfilter網站,講得更清楚一些。
⑤ linux下iptables如何過濾同一網段的連續幾個IP
過濾來源地自址范圍:
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
過濾目標地址范圍:
iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP
⑥ 如何使用iptables過濾pdf文件 iptables -A FORWARD -m -layer7 --l7proto pdf -j DROP 命令沒有用
如果你是防止公司內部資料外流,技術上實現了,但不是最好的辦法,應該是先擋,後放!
⑦ 如何用iptables 過溜掉某台主機發出的arp廣播包
以PC0------SW---------ROUTER---------PC1這個網路結構為例: 1.PC0開始Ping PC1,因為是跨網段的通信,所以要先發ARP包請求網回關的MAC地址答,要拿到網關的MAC地址才能正確封裝數據。這時ARP包里源ip地址為PC0的IP地址,源MAC地址為PC0的MAC地址...
⑧ 如何寫 iptables 規則來過濾運營商 HTTP 劫持
坐標四川移動光纖, DNS 已經全局走 SS 過濾了移動運營商的 53 埠的 DNS 劫持。因為經常用國內網站,所以回全局答 SS 不現實。搜索
目前存在的問題是京東、華為商城等網站有運營商 HTTP 劫持到返利鏈接,多次投訴工信部都沒有效果,因此想求助大家寫個 iptables 規則來過濾 HTTP 劫持,我放在 Openwrt 路由器上。
⑨ linux下iptables如何過濾同一網段的連續幾個IP
過濾源地址范圍:
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP
過濾目標地址范圍:
iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP
⑩ 在進行「Linux之layer7應用層過濾」安裝編譯iptables時提醒錯誤
你貼出來的這一段沒看到錯誤