iptables -I OUTPUT -s 172.16.100.67 -p tcp --sport 80 st -m iprange !--dst-range 172.16.100.61- 172.16.100.70 -m string --string "admin" --algo kmp -j REJECT
表示輸出源地址爲172.16.100.7使用tcp協議 80端口 IP範圍爲172.16.100.61-172.16.100.70內容爲admin的都拒絕訪問
iptables -I INPUT -d 172.16.100.67 -p tcp --dport 23 -m time --timestart 09:00:00 --timestop 18:00:00 --weekdays Tue,Thu,Sat -j ACCEPT
表示目標地址爲172.16.100.67使用tcp協議目標端口爲23,時間在週二,四,六早上九點到下午六點,允許訪問
iptables -A INPUT -d 172.16.100.67 -p tcp --dport 23 -m connlimit --connlimit-upto 2 -j ACCEPT
表示輸入 訪問目標地址172.16.100.67的23端口連接數量小於等於2允許(注意此爲一臺主機)
iptables -A INPUT -d 172.16.100.67 -p tcp -m state --state ESTABLISHED.RELATED -j ACCEPT
表示目標地址172.16.100.67協議爲爲tcp協議狀態爲ESTABLISHED.RELATED允許
iptables -A INPUT -d 172.16.100.67 -p tcp --dport 21 -m state --state NEW -j ACCEPT
表示目標地址172.16.100.67協議爲爲tcp協議狀態爲新建連接的允許
iptables -t nat -A PREROUTING -d 172.16.100.67 -p tcp --dport 80 -j REDIRECT --to-port 8088
訪問172.16.100.67且是tcp協議端口爲80的端口映射爲8088
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -j SNAT --to-source 172.16.100.6
當一個主機源地址爲192.168.11.0網段的訪問外網的話,源地址會轉換爲172.16.100.6
防火牆保存規則:
iptables-save
恢復規則:
iptables-restore