3.iptables 扩展模块

--tcp-flags

用于匹配报文的tcp头的标志位

iptables -t filter -I INPUT  -p tcp -m tcp --dport 22   --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

iptables -t filter -I OUTPUT -p tcp -m tcp --sport 22    --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

iptables -t filter -I INPUT  -p tcp -m tcp --dport 22   --tcp-flags ALL SYN -j REJECT

iptables -t filter -I OUTPUT -p tcp -m tcp --sport 22   --tcp-flags ALL SYN,ACK -j REJECT
--syn

用于匹配tcp新建连接的请求报文,相当于“--tcp-flags SYN,RST,ACK,FIN SYN”

iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --syn -j REJECT
udp

--sport 匹配udp报文的源地址
--dsport 匹配udp报文的目标地址

iptables -t filter -I INPUT -p udp -m udp --dport 137 -j ACCEPT
iptables -t filter -I INPUT -p udp -m udp --dport 137:157 -j ACCEPT
#可以结合multiport模块指定多个离散的端口
icmp

--icmp-type 匹配icmp报文的具体类型

iptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT
iptables -t filter -I INPUT -p icmp --icmp-type 8 -j REJECT
iptables -t filter -I OUTPUT -p icmp -m icmp --icmp-type 0/0 -j REJECT
iptables -t filter -I OUTPUT -p icmp --icmp-type 0 -j REJECT
iptables -t filter -I INPUT -p icmp --icmp-type "echo-request" -j REJECT
state
  1. NEW
  2. ESTABLISHED
  3. RELATED
  4. INVALID
  5. UNTRACKED
iptables -F
iptables -t filter -I  -m state --state RELATED,ESTABLISHED -j ACCEPET
iptables -t filter -A INPUT -j REJECT
posted @   侃豺小哥  阅读(581)  评论(0编辑  收藏  举报
编辑推荐:
· 在.NET Core中使用异步多线程高效率的处理大量数据
· 聊一聊 C#前台线程 如何阻塞程序退出
· 几种数据库优化技巧
· 聊一聊坑人的 C# MySql.Data SDK
· 使用 .NET Core 实现一个自定义日志记录器
阅读排行:
· 字节豆包,来园广告
· 我用cursor, 半就开发了一个手机壁纸小程序,真的太强了
· 聊一聊 C#前台线程 如何阻塞程序退出
· 订单超时自动取消,我们是这样做的。。。
· C#字符串拼接的几种方式及其性能分析对比
点击右上角即可分享
微信分享提示