linux中iptables详解
一、通用基础知识
1、基本概念
什么是防火墙?
所谓防火墙指的是工作于主机或网络的边缘,对于进出的报文根据事先定义的规则作检查,将那些能够被规则所匹配到的报文作出相应处理的组件。
防火墙是由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
2、分类
主机防火墙
网络防火墙
网络防火墙:
① 专业的硬件防火墙:
checkpoint, netscreen
有cpu有内存等,通过特殊架构构成,非常昂贵!
② 主机:
准备一台主机,配置多个网卡,一个接外网,一个接内网,所有从外网到内网的报文都经过这个主机,所有从内网到外网的报文也经过这台主机,主机上配置能够工作为防火墙的软件程序,这台主机也能扮演为网络防火墙。
一个局域网内部的防火墙设置可能有以下几部分组成:
① 网络防火墙:保护内部网络和主机不被外部侵害;
② IDS:Intrusion Detecting System***检测系统
NIDS : 网络***检测系统
HIDS : 主机***检测系统
③ IPS: Intrusion Prevention System ***防御系统
④ 独立主机防火墙:保护个人用户主机网络通信安全
有些设置可能还会有HoneyPot: 蜜罐
二、linux中的防火墙
与外部网络联网通信时的数据报文流程:
数据报文到达本机都是先到达内核的tcp/ip协议栈,因为网卡是硬件,硬件是直接内核管理的。然后在tcp/ip协议栈上,先要拆掉以太网帧,然后查报文的源ip和目标ip: ①如果是发往本机的,则根据tcp首部当中定义的目标端口送给用户空间的应用程序。 应用程序收到报文后一般需要回应,所以就需要生成新报文经由内核、网卡路由发出;② 数据报文不是发往本机的,需要由本机forward转发的,则经由网卡直接转发出去。
iptables: 程序
规则编写工具,编号规则后附加在netfilter设置好的卡点上起作用
netfilter:
网络过滤器, 内核中工作在TCP/IP网络协议栈上的框架;
netfilter是在主机或网络上划定数据进出的必由关卡,就像建起围墙,只留这么几个出入口,然后等着iptables设定规则,什么该拦什么不拦,如果没有设定,那么什么都不做,数据包还是能自由出入这几个口的。linux中netfilter一共设置了5个卡点,叫做hook function钩子函数。
hooks function :
抽象设置了5个报文经由卡点,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链
① prerouting:
进入本机后路由功能发生之前(还没有检查是不是需要本机路由之前,也即在到网卡之前)
② input:
到达本机内部
③ output:
由本机发出
④ forward:
由本机转发
⑤ postrouting:
路由功能发生之后,即将离开本机之前
chain:每个钩子函数上可放置n条规则;对应于每个钩子上的多条规则就称为一个链(CHAIN)
每个功能有多个链,形成一个表,因此内置有四表五链
filter : input, forward, output
nat :prerouting, output(少用) ,postrouting
mangle :prerouting, input, forward, output, postrouting
raw :prerouting, output
规则的功能:
①过 滤 :firewall,最主要、最重要的功能。
②地址转换:不做防火墙时叫NAT Server,而不叫firewall
Network Address Translation
③mangle :修改报文首部中的某些信息(不包括地址信息)
④ raw :关闭nat表上启用的连接追踪功能(是NAT的辅助补充功能,只能在NAT发生的前半段)
iptables中还有一种叫做自定义链的链,但不是实际存在的、固定不变的链,因此报文不可能经由自定义链,只有在被内置链上的规则引用才能生效(即做为自定义目标)
功能的优先级:
由高而低:raw --> mangle --> nat --> filter
三、防火墙设置
linux中用iptables程序设置防火墙各种规则。
iptables程序实质上就是规则管理工具,能自动实现规则的语法检查,检查完后直接送往内核加载在netfilter之上起效用。
(一)防火墙设置流程
1、确定设置策略
两种设置策略:
a、只放行在名单上的,其他的都不放行 ——白名单,建议使用这种策略
b、除了名单上的不放行,其他的都放行 ——黑名单
2、确定链
由数据报文的流经过程以及要实现的功能,确定应在哪条链上设置规则
考量点:
(1) 要实现的功能:判断添加在哪个表上;
(2) 报文流向及经由路径:判断添加在哪个链上
报文流向决定设置规则的位置:
到本内部:prerouting, input
由本机发出:output, postrouting
由本机转发:prerouting, forward, postrouing
3、确定每条链上规则的前后次序
链上的规则次序 即为 检查次序,因此有一定的设置法则:
(1) 同类规则,匹配范围小的放上面;
(2) 不同类规则,匹配报文机率较大的放上面;
(3) 应该设置默认策略;
默认策略(POLICY):链都应该有,以对那些无法由所有既定规则所匹配的数据报文进行处理;
4、用iptables命令设置
设置后立即生效,但不会永久有效,重启后丢失。
5、保存设置好的规则
如果需要让设置的规则能一直存在并能应用,需要使用保存命令保存于一定的文件中。
方法一:
保存于默认配置文件/etc/sysconfig/iptables中,系统重启后会自动加载此文件的设置建立防火墙
保存现在运行的规则到配置文件 : # service iptables save
重载配置文件中的规则到内核中运行 : # service iptables reload
方法二:
保存于某个制定的文件内,但系统重启后不会自动加载,需要运行时须手动加载
保存现在运行的规则到某个指定的非配置文件中:# iptables-save > /PATH/TO/SOMEFILE
重载某个指定的非配置文件中的规则到内核中运行:# iptables-restore < /PATH/FROM/SOMEFILE
(三)命令公式
规则的组成部分:
报文的匹配条件, 匹配之后如何处理
匹配条件:① 基本匹配条件、② 扩展匹配条件
如何处理:① 内建处理机制、② 自定义处理机制(自定义的链)
iptables [-t TABLE] SUBCOMMAND CHAIN CRITERIA -j TARGET
(由于网速问题,大图上传不了,放在附件里了)
1、-t TABLE:
默认为filter, 共有filter, nat, mangle, raw四个可用;
2、SUBCOMMAND:
(1)链:
-F:flush,清空指定表的指定链上所有规则;省略链名时,清空表中的所有链;(注:不会冲刷掉policy!!!)
-P:policy,设置链的默认处理机制;当所有都无法匹配或有匹配有无法做出有效处理机制时,默认策略即生效;
filter表的可用策略:ACCEPT, DROP, REJECT
-N:new, 新建一个用户自定义的链;自定义链只能作为默认链上的跳转对象,即通过在默认链中引用来使自定义链生效起作用;自定义链生效完可以跳转回某个内置链继续过滤。
-X:drop,删除用户自定义的空链;非空自定义链和内置链无法删除;
-E:rename,重命名自定义链;
-Z:zero,将规则的计数器置0;
注意:被引用中的自定义链,无法删除和改名
增删查改
(2)规则:
-A:append,在链尾追加一条规则;
-I:insert,在指定位置插入一条规则;
-D:delete,删除指定的规则;
-R:replace,替换指定的规则;
(3)查看:
-L:list,列出指定链上的所有规则;
-n: numeric,以数字格式显示地址和端口号,即不反解;
-v: verbose,详细格式,显示规则的详细信息,包括规则计数器等;
-vv:比v更详细
-vvv:比vv更详细
--line-number[s]: 显示规则编号;
-x: exactly,显示计数器的精确值;
3、CRITERIA
(1)通用匹配:
[!] -s, --src, --source IP|Network:检查报文中的源IP地址;
-d, --dst, --destination:检查报文中的目标IP地址;
-p, --protocol:检查报文中的协议,即ip首部中的protocols所标识的协议;tcp、udp或icmp三者之一;
-i, --in-interface:数据报文的流入接口;通常只用于PREROUTING, INPUT, FORWARD链上的规则;
-o, --out-interface:检查报文的流出接口;通常只用于FORWARD, OUTPUT, POSTROUTING链上的规则;
(2)扩展匹配:
使用iptables的模块实现扩展性检查机制(rpm -ql iptables可中有/lib64/xtables/libxt_NAME.so或者/lib64/xtables/libipt_NAME.so的都是有扩展的,其中小写字母的表示是扩展模块的,大写字母的表示是扩展target的)
扩展模块的:/lib64/xtables/libxt_string.so
/lib64/xtables/libxt_tcp.so
扩展target的:/lib64/xtables/libipt_CLUSTERIP.so
(2.1)隐式扩展:
如果在通用匹配上使用-p选项指明了协议的话,则使用-m选项指明对其协议的扩展就变得可有可无了;
①tcp:
--dport PORT[-PORT] 即可以指明一个或连续的多个端口
--sport PORT[-PORT]
--tcp-flags LIST1 LIST2
LIST1: 要检查的标志位;
LIST2:在LIST1中出现过的,且必须为1标记位;而余下的则必须为0;
例如:--tcp-flags syn,ack,fin,rst syn
--syn:用于匹配tcp会话三次握手的第一次(等同于--tcp-flags syn,ack,fin,rst syn);
②udp:
--sport
--dport
③icmp:
--icmp-type
ping的先发出的那根线就是8,无关s和d;响应的那根线就是0,无关自己是响应的还是对方响应的
8: echo request
0:echo reply
练习:
1、放行本机上的ssh和http服务;要求input和output策略默认均为DROP;
[root@kingdom ~]# iptables -t filter -I INPUT 1 -d 172.16.20.150 -p tcp -m tcp --dport 80 -j ACCEPT
[root@kingdom ~]# iptables -t filter -I INPUT 1 -d 172.16.20.150 -p tcp -m tcp --dport 22 -j ACCEPT
[root@kingdom ~]# iptables -t filter -I INPUT 2 -d 172.16.20.150 -p tcp -m tcp --dport 80 -j ACCEPT
[root@kingdom ~]# iptables -t filter -I OUTPUT 1 -s 172.16.20.150 -p tcp -m tcp --sport 22 -j ACCEPT
[root@kingdom ~]# iptables -t filter -I OUTPUT 2 -s 172.16.20.150 -p tcp -m tcp --sport 80 -j ACCEPT
[root@kingdom ~]# iptables -t filter -P INPUT DROP
[root@kingdom ~]# iptables -t filter -P OUTPUT DROP
[root@kingdom ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.16.20.150 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 172.16.20.150 tcp dpt:80
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 172.16.20.150 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 172.16.20.150 0.0.0.0/0 tcp spt:80
2、开放本机对ping的响应,和ping请求;
[root@kingdom ~]# iptables -t filter -A INPUT -d 172.16.20.150 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[root@kingdom ~]# iptables -t filter -A OUTPUT -s 172.16.20.150 -p icmp --icmp-type 0 -j ACCEPT
[root@kingdom ~]# iptables -t filter -A OUTPUT -s 172.16.20.150 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[root@kingdom ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.16.20.150 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 172.16.20.150 tcp dpt:80
ACCEPT icmp -- 0.0.0.0/0 172.16.20.150 icmp type 8
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 172.16.20.150 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 172.16.20.150 0.0.0.0/0 tcp spt:80
ACCEPT icmp -- 172.16.20.150 0.0.0.0/0 icmp type 0
ACCEPT icmp -- 172.16.20.150 0.0.0.0/0 icmp type 8
(2.2)显式扩展:必须指明使用的扩展机制;
-m 模块名称
每个模块会引入新的匹配机制;
想知道有哪些模块可用:
rpm -ql iptables
小写字母,以.so结尾;
①multiport扩展:
以离散定义多端口匹配;最多指定15个端口;
专用选项:
--source-ports, --sports PORT[,PORT,...]
--destination-ports, --dports PORT[,PORT,...]
--ports PORT[,PORT,...] 无论是源还是目标都匹配,但实际中不常见,因为源和目标端口号一般都不同
例子:
# iptables -I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80,443 -j ACCEPT
# iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp -m multiport --sports 22,80,443 -j ACCEPT
②iprange扩展:
指定连续的ip地址范围;在匹配非整个网络地址时使用;
专用选项:
[!] --src-range IP[-IP]
[!] --dst-range IP[-IP]
示例:
# iptables -A INPUT -d 172.16.100.11 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT
# iptables -A OUTPUT -s 172.16.100.11 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT
③string扩展:
检查报文中出现的字符串,与给定的字符串作匹配;
字符串匹配检查算法:
kmp, bm
目前来说,这两者在性能上没太大差别了,用哪个都可以。起的作用是加快匹配的速度。
专用选项:
--algo {kmp|bm}
--string "STRING"
--hex-string "HEX_STRING":HEX_STRING为编码成16进制格式的字串;
第一种写法:
--algo kmp --string ”sex“
第二种写法:
--hex-string ”XXX“
XXX : 编码成的16进制格式的字串
示例:
# iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp --sport 80 -m string --string "sex" --algo kmp -j REJECT
④time扩展:
基于时间区间做访问控制
专用选项:
--datestart YYYY[-MM][-DD][hh[:mm[:ss]]]
--dattestop YYYY[-MM][-DD][hh[:mm[:ss]]]
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
--weekdays DAY1[,DAY2,...]
示例:
# iptables -R INPUT 1 -d 172.16.100.11 -p tcp --dport 80 -m time --timestart 08:30 --timestop 18:30 --weekdays Mon,Tue,Thu,Fri -j REJECT
⑤connlimit扩展:
基于连接数作限制;对每个IP能够发起的并发连接数作限制;
注:计数器是从rule生效时才开始计数的
专用选项:
--connlimit-above [n]
# iptables -I INPUT 2 -d 172.16.100.11 -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT
⑥limit扩展:
基于发包速率作限制;
令牌桶算法——只发这么多个令牌,匹配到了就给个令牌执行本rule的target,如果超过了限制的则本规则直接不管(相当于每隔几秒发一个令牌后就下班休息了,连关卡都不看了,由其他规则匹配。超过数量规则限制的则直接去匹配下面的规则,如果匹配到了就能执行对应的target,如果没有,则最终采用默认policy。
专用选项:
--limit n[/second|/minute|/hour|/day]
--limit-burst n
# iptables -R INPUT 3 -d 172.16.100.11 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT
练习:
(1) 配置本机的dns服务,并放行之;默认策略为drop;
(2) 配置本机的telnet服务,要求只允许来自于172.16.0.0/16网络中的主机访问,且只允许工作时间访问,而且,每个来源IP最多的并发连接数不能超过2个;
# iptables -t filter -I INPUT 3 -d 172.16.20.150 -p tcp -m tcp --dport 53 -p udp -m udp --dport 53 -j ACCEPT
# iptables -t filter -I OUPUT 3 -s 172.16.20.150 -p tcp -m tcp --sport 53 -p udp -m udp --sport 53 -j ACCEPT
# iptables -t filter -I OUTPUT 4 -s 172.16.20.150 -p tcp -m tcp -dport 53 -p udp -m udp --dport 53 -j ACCEPT
# iptables -t filter -I INPUT 4 -d 172.16.20.150 -p tcp -m tcp -sport 53 -p udp -m udp --sport 53 -j ACCEPT
# iptables -t filter -P INPUT DROP
# iptables -t filter -P OUPUT DROP
(2)
# iptables -t filter -I INPUT 5 -s 172.16.0.0/16 -d 172.16.20.150 -p tcp -m tcp --dport 23 -m time --timestart 08:30 --timestop 17:30 --weekdays Mon,Tue,Wen,Thu,Fri -m connlimit ! --connlimit-above 2 -j ACCEPT
# iptables -t filter -I OUTPUT 5 -d 172.16.0.0/16 -s 172.16.20.150 -p tcp -m tcp --sport 23 -m time --timestart 08:30 --timestop 17:30 --weekdays Mon,Tue,Wen,Thu,Fri -m connlimit ! --connlimit-above 2 -j ACCEPT
⑦state扩展:
启用连接追踪模板记录连接,并根据连接匹配连接状态的扩展;
启用连接追踪功能之前:简单包过滤防火墙;
启用连接追踪功能:带状态检测的包过滤防火墙;
可以过滤掉事先埋伏在主机内的反弹***以特定端口(如80)去主动连接某个客户端
专用选项:
--state STATE
NEW:
新建立的连接,连接追踪模板中无相应的条目时,客户端第一次发出的请求;
ESTABLISHED:
NEW状态之后,连接追踪模板中的条目删除之前所进行的通信过程,都称为 ESTABLISHED;(理解:IP和端口号都是一样的)
RELATED:
相关联的连接,如ftp协议的命令连接与数据连接即为相关联的连接;(理解 : IP是一样,但端口号不一样)
INVALIED:
无法识别的状态;如 ① syn 1,fin 1;② 6个标志位全为1 或全为0 ;
4、TARGET:
ACCEPT:放行
DROP:丢弃
REJECT:明确拒绝
SNAT:源地址转换
DNAT:目标地址转换
MASQUERADE :动态地址转换(当私网主机是通过DHCP动态获得IP地址时使用)
LOG:日志
REDIRECT:端口重定向;
RETURN: 返回至调用者;
MARK:防火墙标记
(1)SNAT:
主要用于实现让内网客户端访问外部主机时使用;
注意:要定义在POSTROUTING链;也可以在OUTPUT上使用,但很少;
定义方法:
# iptables -t nat -A POSTROUTING -s 内网网络或主机地址 -j SNAT --to-source NAT服务器上的某外网地址
(即要将发出的源地址改为NAT服务器上的外网地址,让外网的服务器能先回复到NAT上)
另一个TARGET:
MASQUERADE:地址伪装;能自行判断该转为哪个源地址;
# iptables -t nat -A POSTROUTING -s 内网网络或主机地址 -j MASQUERADE
(2)DNAT:
主要用于发布内部服务器,让内网中的服务器在外网中可以被访问到;
注意:要定义在PREROUTING链;
定义方法:
# iptables -t nat -A PREROUTING -d NAT服务器的某外网地址 -p 某协议 --dport 某端口 -j DNAT --to-destination 内网某服务器地址[:PORT]
练习:INPUT和OUTPUT默认策略为DROP;
1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;
# iptables -A INPUT -s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m tcp --dport 80,443 -m time --weekdays Mon -j REJECT
# iptables -A INPUT -s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m tcp --dport 80,443 -m limit --limit 100/second -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m tcp --dport 80,443 -m string --string "admin" --algo kmp -j REJECT
# iptables -A OUTPUT -s 172.16.0.1 -p tcp -m state --state ESTABLISHED -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;
# iptables -A INPUT -s 172.16.0.0/16 -d 172.16.0.1 -p tcp --dport 21 -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wen,Thu,Fri -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A INPUT -s 172.16.0.0/16 -d 172.16.0.1 -p tcp -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wen,Thu,Fri -m limit --limit 5/minute -m state --state RELATIVED -j ACCEPT
# iptables -A OUTPUT -s 172.16.0.1 -p tcp -m state --state ESTABLISHED -j ACCEPT
3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;
# iptables -A INPUT -d 172.16.0.1 -p tcp -m tcp --dport 22 -m iprange --src-range 172.16.20.1-172.16.20.100 -m limit --limit 2/minit -j ACCEPT
# iptables -A OUTPUT -s 172.16.0.1 -p tcp -m state --state ESTABLISHED -j ACCEPT
4、拒绝TCP标志位全部为1及全部为0的报文访问本机;
# iptables -A INPUT -d 172.16.0.1 -m tcp --tcp-flags all all -j REJECT
# iptables -A INPUT -d 172.16.0.1 -m tcp --tcp-flags all none -j REJECT
5、允许本机ping别的主机;但不开放别的主机ping本机;
# iptables -A OUTPUT -s 172.16.0.1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
# iptables -A INPUT -d 172.16.0.1 -p icmp -m state --state ESTABLISH -j ACCEPT
练习:判断下述规则的意义:
# iptables -N clean_in
在filter表中新建一个名字为clean_in的链
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
经由clean_in到255.255.255.255的icmp包都丢弃
# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
经由clean_in到172.16.255.255的icmp包都丢弃
# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP
经由clean_in新建立的连接的tcp包中追踪状态是NEW且不是(syn=1,ack=0,fin=0,rst=0)的都丢弃
# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP
经由clean_in的tcp包中丢弃tcp标识都为1的包
# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
经由clean_in的tcp包中丢弃tcp标识都为0的包
# iptables -A clean_in -d 172.16.100.7 -j RETURN
经由clean_in的发往172.16.100.7的包都跳转至调用clean_in的链中规则的下一条接着处理
# iptables -A INPUT -d 172.16.100.7 -j clean_in
经由INPUT链的发往172.16.100.7的包都交由clean_in链处理
# iptables -A INPUT -i lo -j ACCEPT
通过INPUT链时,数据报文指明接口为lo的都放行
# iptables -A OUTPUT -o lo -j ACCEPT
通过OUTPUT链时,发出的数据报文指明接口为lo的都放行
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
经eth0流入的tcp数据包经由INPUT时,只要目标端口是53,113,135,137,139,445的都丢弃
# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
经eth0流入的udp数据包经由INPUT时,只要目标端口是53,113,135,137,139,445的都丢弃
# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP
经eth0流入的udp数据包经由INPUT时,只要目标端口是1026的丢弃
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP
经eth0流入的tcp数据包经由INPUT时,只要目标端口是1433和4899的都丢弃
# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT
进入的icmp包经由INPUT链时限速10个/秒,超过的不被本规则放行