两小时玩转Linux iptables防火墙
133

[size=32pt]1. 概述
[size=32pt]2. 框架图
[size=32pt]3. 语法
[size=32pt]4. 实例分析
[size=32pt]5. 网管策略
[size=32pt]6. FAQ
[size=32pt]7. 实战

3.3.5 iptables匹配应用举例

1、端口匹配
[color=#0660]-p udp --dport 53
匹配网络中目的地址是 53 的 UDP 协议数据包

2、地址匹配
[color=#0660]-s 10.1.0.0/24 -d 172.17.0.0/16
匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包

3、端口和地址联合匹配
[color=#0660]-s 192.168.0.1 -d abc -p tcp --dport 80
匹配来自 192.168.0.1，去往 abc 的 80 端口的 TCP 协议数据包

注意：
1、--sport、--dport 必须联合 -p 使用，必须指明协议类型是什么
2、条件写的越多，匹配越细致，匹配范围越小

4.1 单服务器的防护

£弄清对外服务对象
书写规则
网络接口 lo 的处理
状态监测的处理
协议 + 端口的处理
实例：一个普通的 web 服务器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意：确保规则循序正确，弄清逻辑关系，学会时刻使用 -vnL
4.4 内网如何做对外服务器
£服务协议（TCP/UDP）
£对外服务端口
£内部服务器私网 IP
£内部真正服务端口
实例：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80