iptables 示例

作者佚名技术来源 Linux系统浏览发布时间 2012-04-03

ARD -m layer7 --17proto bittorrent -j DROP
[root@localhost ~]# iptables -A FORWARD -m layer7 --17proto xunlei -j DROP
[root@localhost ~]# iptables -A FORWARD -m layer7 --17proto edonkey -j DROP

例3.3 使用“--connlimit”显式匹配进行数据并发连接控制,超过100个并发连接时将拒绝.
[root@localhost ~]# iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 100 -j DROP

例3.4 使用“-time”显式匹配根据时间范围设置数据访问策略,允许周一到周五8:00-18:00之间的数据访问.
[root@localhost ~]# iptables -A FORWARD -p tcp --dport 80 -m time --timestart 8:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT

例3.5 使用“string”显式匹配策略过滤包含“tencent”、“verycd”、“色情”、“********”的网络访问数据.

Empire CMS,phome.net

[root@localhost ~]# iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" --algo bm -j DROP
[root@localhost ~]# iptables -A FORWARD -p udp --dport 53 -m string --string "verycd" --algo bm -j DROP
[root@localhost ~]# iptables -A FORWARD -p tcp --dport 80 -m string --string "色情" --algo bm -j DROP
[root@localhost ~]# iptables -A FORWARD -p tcp --dport 80 -m string --string "********" --algo bm -j DROP
其中的“--algo”参数用于指定字符串识别算法,可以是“bm”或者“kmp”,任选其中一种即可.需要注意的是,“--string”匹配对中文字符串的过滤效果可能不是很理想.

Empire CMS,phome.net

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

上一页 1 2 3 4

分享到：更多

你可能对下面的文章感兴趣

上一篇: linux双机文件同步rsync下一篇: Linux 常见特殊符号

关于iptables 示例的所有评论

随机推荐