ACL

拒绝进入防火墙的所有ICMP数据凶包

iptables -t filter -I INPUT -p icmp -j REJECT

拒绝转发来自192.168.1.10主机的数据

iptables -t filter -A FORWARD -s 192.168.1.10 -j REJECT

丢弃从外网接口（eth1）进入防火墙，源地址为私网地址的数据包

iptables -t filter -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

只允许管理员从202.13.0.0/16网段使用ssh远程登录防火墙主机

iptabels -t filter -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包

iptables -t filter -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

禁止转发来自MAC地址为00:0c:29:27:55:3f主机的数据包

iptables -t filter -A INPUT -m mac --mac-source 00:0c:29:27:55:3f -j DROP

NAT

SNAT（源地址转换）

作用

修改数据包的源IP地

临时打开端口转发

echo 1 > /proc/sys/net/ipv4/ip_forward
# sysctl -w net.ipv4.ip forward=1

永久打开端口转发

vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -P

转换为固定公网IP地址

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10

动态ip地址

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

DNAT (目标地址转换)

作用

修改数据包的目标IP地址

发布内网的Web服务

# 把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.100.102
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.100.102

修改目标端口

# 发布局域网内部的OpenSSH服务器，外网主机需要使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250 -j DNAT --to 192.168.100.102:22

RAW

跳过链接跟综和NAT

iptables -t raw -A PREROUTING -d 192.168.56.102 -j NOTRACK

MANGLE

打标记

iptables -t manage -A PREROUTING -i eth0 -p tcp --dport 80:443 -j MARK --set-mark 1
iptables -t manage -A PREROUTING -i eth0 -p tcp --dport 20:21 -j MARK --set-mark 2

制定两个路由表10，20，通过两种标签做，分别做静态路由

ip route add default via 202.106.1.1 dev eth1 table 10
ip route add default via 211.108.1.1 dev eth2 table 20

ip rule add from all fwmark 1 table 10
ip rule add from all fwmark 2 table 20