亚洲成A人片在线观看网站_成年网站免费视频A在线双飞_日日日日做夜夜夜夜无码_久久夜色撩人精品国产小说

iptables 備忘清單

iptables 是一個配置 Linux 內核防火墻的命令行工具,是 項目的一部分。這個快速參考備忘單顯示了它的常用命令使用清單

入門

介紹

iptables 使用三個不同的鏈來允許或阻止流量:輸入(input)、輸出(output)和轉發(forward)

  • 輸入(input) —— 此鏈用于控制傳入連接的行為
  • 輸出(output) —— 此鏈用于傳出連接
  • 轉發(forward) —— 這條鏈用于傳入的連接,這些連接實際上不是在本地傳遞的,比如路由和 NATing

安裝 iptables

CentOS 7 上默認安裝了 firewalld 作為防火墻,使用 iptables 建議關閉并禁用 firewalld。

$ systemctl stop firewalld
$ systemctl disable firewalld

安裝 iptables

$ yum install -y iptables-services

服務管理

$ systemctl status iptables  # 查看服務狀態
$ systemctl enable iptables  # 啟用服務
$ systemctl disable iptables # 禁用服務
$ systemctl start iptables   # 啟動服務
$ systemctl restart iptables # 重啟服務
$ systemctl stop iptables    # 關閉服務

命令參數

基本語法:

$ iptables(選項)(參數)
參數作用
-P設置默認策略:
iptables -P INPUT (DROP
-F清空規則鏈
-L查看規則鏈
-A在規則鏈的末尾加入新規則
-Inum 在規則鏈的頭部加入新規則
-Dnum 刪除某一條規則
-s匹配來源地址 IP/MASK
加嘆號"!"表示除這個 IP
-d匹配目標地址
-i網卡名稱 匹配從這塊網卡流入的數據
-o網卡名稱 匹配從這塊網卡流出的數據
-p匹配協議,如 tcp,udp,icmp
--dport num匹配目標端口號
--sport num匹配來源端口號
$ iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動作

開始配置規則

默認情況下,所有鏈都配置為接受規則,因此在強化過程中,建議從拒絕所有配置開始,然后只打開需要的端口:

$ iptables --policy INPUT DROP
$ iptables --policy OUTPUT DROP
$ iptables --policy FORWARD DROP

刪除/插入規則

按鏈條和編號刪除規則

$ iptables -D INPUT 10

按規范刪除規則

$ iptables -D INPUT -m conntrack --ctstate INVALID -j DROP

刷新所有規則,刪除所有鏈,并接受所有

$ iptables -P INPUT ACCEPT
$ iptables -P FORWARD ACCEPT
$ iptables -P OUTPUT ACCEPT
$ iptables -t nat -F
$ iptables -t mangle -F
$ iptables -F
$ iptables -X

# 沖洗所有鏈
$ iptables -F
# 刷新單鏈
$ iptables -F INPUT
# 插入規則
$ iptables -I INPUT 2 -s 202.54.1.2 -j DROP

顯示規則

詳細打印出所有活動的 iptables 規則

$ iptables -n -L -v

...具有行號的相同輸出:

$ iptables -n -L -v --line-numbers

最后,相同的數據輸出但與 INPUT/OUTPUT 鏈相關:

$ iptables -L INPUT -n -viptables -L OUTPUT -n -v --line-numbers

列出特定鏈的規則

$ iptables -L INPUT
# 具有規則規范的相同數據:
$ iptables -S INPUT
# 包含數據包計數的規則列表
$ iptables -L INPUT -v

保存規則

# 在基于 Debian 的系統上
$ netfilter-persistent save
# 在基于 RedHat 的系統上
$ service iptables save

iptables 示例

清空當前的所有規則和計數

$ iptables -F  # 清空所有的防火墻規則
$ iptables -X  # 刪除用戶自定義的空鏈
$ iptables -Z  # 清空計數

配置允許 ssh 端口連接

$ iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

22 為你的 ssh 端口, -s 192.168.1.0/24 表示允許這個網段的機器來連接,其它網段的 ip 地址是登陸不了你的機器的。-j ACCEPT 表示接受這樣的請求

允許本地回環地址可以正常使用

$ iptables -A INPUT -i lo -j ACCEPT
# 本地圓環地址就是那個127.0.0.1
# 是本機上使用的,它進與出都設置為允許
$ iptables -A OUTPUT -o lo -j ACCEPT

設置默認的規則

# 配置默認的不讓進
$ iptables -P INPUT DROP
# 默認的不允許轉發
$ iptables -P FORWARD DROP
# 默認的可以出去
$ iptables -P OUTPUT ACCEPT

配置白名單

# 允許機房內網機器可以訪問
$ iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT 
# 允許機房內網機器可以訪問
$ iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT 
# 允許 183.121.3.7 訪問本機的3380端口
$ iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT

開啟相應的服務端口

# 開啟 80 端口,因為web對外都是這個端口
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允許被 ping
$ iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# 已經建立的連接得讓它進來
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存規則到配置文件中

# 任何改動之前先備份,請保持這一優秀的習慣
$ cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
$ iptables-save > /etc/sysconfig/iptables
$ cat /etc/sysconfig/iptables

列出已設置的規則

$ iptables -L [-t 表名][鏈名]
  • 四個表名 rawnatfiltermangle
  • 五個規則鏈名 INPUTOUTPUTFORWARDPREROUTINGPOSTROUTING
  • filter 表包含INPUTOUTPUTFORWARD三個規則鏈
# 列出 nat 上面的所有規則
$ iptables -L -t nat                
#            ^ -t 參數指定,必須是 raw, nat,filter,mangle 中的一個
# 規則帶編號
$ iptables -L -t nat  --line-numbers
$ iptables -L INPUT
# 查看,這個列表看起來更詳細
$ iptables -L -nv

清除已有規則

# 清空指定鏈 INPUT 上面的所有規則
$ iptables -F INPUT
# 刪除指定的鏈,這個鏈必須沒有被其它任何規則引用,
# 而且這條上必須沒有任何規則
$ iptables -X INPUT
    # 如果沒有指定鏈名,則會刪除該表中所有非內置的鏈
# 把指定鏈,或者表中的所有鏈上的所有計數器清零
$ iptables -Z INPUT

刪除已添加的規則

# 添加一條規則
$ iptables -A INPUT -s 192.168.1.5 -j DROP

將所有 iptables 以序號標記顯示,執行:

$ iptables -L -n --line-numbers

比如要刪除 INPUT 里序號為 8 的規則,執行:

$ iptables -D INPUT 8

開放指定的端口

# 允許本地回環接口(即運行本機訪問本機)
$ iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允許已建立的或相關連的通行
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允許所有本機向外的訪問
$ iptables -A OUTPUT -j ACCEPT
# 允許訪問22端口
$ iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允許訪問80端口
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 允許ftp服務的21端口
$ iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# 允許FTP服務的20端口
$ iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# 禁止其他未允許的規則訪問
$ iptables -A INPUT -j reject
# 禁止其他未允許的規則訪問
$ iptables -A FORWARD -j REJECT

屏蔽 IP

# 屏蔽惡意主機(比如,192.168.0.8
$ iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP
# 屏蔽單個IP的命令
$ iptables -I INPUT -s 123.45.6.7 -j DROP
# 封整個段即從123.0.0.1到123.255.255.254的命令
$ iptables -I INPUT -s 123.0.0.0/8 -j DROP
# 封IP段即從123.45.0.1到123.45.255.254的命令
$ iptables -I INPUT -s 124.45.0.0/16 -j DROP
# 封IP段即從123.45.6.1到123.45.6.254的命令是
$ iptables -I INPUT -s 123.45.6.0/24 -j DROP

指定數據包出去的網絡接口

只對 OUTPUT,FORWARD,POSTROUTING 三個鏈起作用。

$ iptables -A FORWARD -o eth0

查看已添加的規則

$ iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
 pkts bytes target     prot opt in     out     source               destination
 5075  589K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 191K   90M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
1499K  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
4364K 6351M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 6256  327K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
 pkts bytes target     prot opt in     out     source               destination
 5075  589K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

啟動網絡轉發規則

公網210.14.67.7讓內網192.168.188.0/24上網

$ iptables -t nat -A POSTROUTING -s 192.168.188.0/24 -j SNAT --to-source 210.14.67.127

端口映射

本機的 2222 端口映射到內網 虛擬機的 22 端口

$ iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222  -j DNAT --to-dest 192.168.188.115:22

字符串匹配

比如,我們要過濾所有 TCP 連接中的字符串test,一旦出現它我們就終止這個連接,我們可以這么做:

$ iptables -A INPUT -p tcp -m string --algo kmp --string "test" -j REJECT --reject-with tcp-reset
$ iptables -L
# Chain INPUT (policy ACCEPT)
# target     prot opt source          destination
# REJECT     tcp  --  anywhere        anywhere        STRING match "test" ALGO name kmp TO 65535 reject-with tcp-reset
#
# Chain FORWARD (policy ACCEPT)
# target     prot opt source          destination
#
# Chain OUTPUT (policy ACCEPT)
# target     prot opt source          destination

阻止 Windows 蠕蟲的攻擊

$ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"

防止 SYN 洪水攻擊

$ iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT

允許環回連接

$ iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT

允許已建立和相關的傳入連接

$ iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

允許已建立的傳出連接

$ iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

內部到外部

$ iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

丟棄無效數據包

$ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

阻止 IP 地址

$ iptables -A INPUT -s 192.168.1.10 -j DROP

阻止和 IP 地址并拒絕

$ iptables -A INPUT -s 192.168.1.10 -j REJECT

阻止與網絡接口的連接

$ iptables -A INPUT -i eth0 -s 192.168.1.10 -j DROP

允許所有傳入的 SSH

$ iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許來自特定 IP 地址或子網的傳入 SSH

$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許傳出 SSH

$ iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許來自特定 IP 地址或子網的傳入 Rsync

$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 873 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 873 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許傳入 HTTP

$ iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許傳入 HTTPS

$ iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許傳入 HTTP 和 HTTPS

$ iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許來自特定 IP 地址或子網的 MySQL

$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許 MySQL 到特定的網絡接口

$ iptables -A INPUT -i eth1 -p tcp --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth1 -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許來自特定 IP 地址或子網的 PostgreSQL

$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 5432 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 5432 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許 PostgreSQL 到特定的網絡接口

$ iptables -A INPUT -i eth1 -p tcp --dport 5432 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth1 -p tcp --sport 5432 -m conntrack --ctstate ESTABLISHED -j ACCEPT

阻止傳出 SMTP 郵件

$ iptables -A OUTPUT -p tcp --dport 25 -j REJECT

允許所有傳入的 SMTP

$ iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許所有傳入的 IMAP

$ iptables -A INPUT -p tcp --dport 143 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 143 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許所有傳入的 IMAPS

$ iptables -A INPUT -p tcp --dport 993 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 993 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許所有傳入的 POP3

$ iptables -A INPUT -p tcp --dport 110 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 110 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允許所有傳入的 POP3S

$ iptables -A INPUT -p tcp --dport 995 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 995 -m conntrack --ctstate ESTABLISHED -j ACCEPT

在公共接口上刪除專用網絡地址

$ iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j DROP
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

將所有傳出到 Facebook 網絡

獲取 Facebook 作為:

$ whois -h v4.whois.cymru.com " -v $(host facebook.com | grep "has address" | cut -d " " -f4)" | tail -n1 | awk '{print $1}'

降低:

$ for i in $(whois -h whois.radb.net -- '-i origin AS1273' | grep "^route:" | cut -d ":" -f2 | sed -e 's/^[ \t]*//' | sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4 | cut -d ":" -f2 | sed 's/$/;/') ; do  iptables -A OUTPUT -s "$i" -j REJECTdone

記錄和丟棄數據包

$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

默認情況下,所有內容都記錄到 /var/log/messages 文件中:

$ tail -f /var/log/messagesgrep --color 'IP SPOOF' /var/log/messages

記錄和丟棄日志條目數量有限的數據包

$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

丟棄或接受來自 Mac 地址的流量

$ iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
$ iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

阻止或允許 ICMP Ping 請求

$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
$ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

使用 multiport 指定多個端口

$ iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports ssh,smtp,http,https -j ACCEPT

使用 random*nth* 進行負載平衡

_ips=("172.31.250.10" "172.31.250.11" "172.31.250.12" "172.31.250.13")for ip in "${_ips[@]}" ; do  iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 4 --packet 0 \    -j DNAT --to-destination ${ip}:80done

or

_ips=("172.31.250.10" "172.31.250.11" "172.31.250.12" "172.31.250.13")for ip in "${_ips[@]}" ; do  iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m random --average 25 \    -j DNAT --to-destination ${ip}:80done

使用 limit 和 iplimit* 限制連接數

$ iptables -A FORWARD -m state --state NEW -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m limit --limit 20/hour --limit-burst 5 -j ACCEPT

or

$ iptables -A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP

維護要匹配的最近連接列表

$ iptables -A FORWARD -m recent --name portscan --rcheck --seconds 100 -j DROPiptables -A FORWARD -p tcp -i eth0 --dport 443 -m recent --name portscan --set -j DROP

匹配數據包數據負載中的 “string*”

$ iptables -A FORWARD -m string --string '.com' -j DROP
$ iptables -A FORWARD -m string --string '.exe' -j DROP

帶有“時間*”的基于時間的規則

$ iptables -A FORWARD -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m time --timestart 21:30 --timestop 22:30 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT

基于 TTL 值的數據包匹配

$ iptables -A INPUT -s 1.2.3.4 -m ttl --ttl-lt 40 -j REJECT

防止端口掃描

$ iptables -N port-scanningiptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURNiptables -A port-scanning -j DROP

SSH 暴力破解保護

$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --setiptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

同步泛洪保護

$ iptables -N syn_floodiptables -A INPUT -p tcp --syn -j syn_floodiptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
$ iptables -A syn_flood -j DROPiptables -A INPUT -p icmp -m limit --limit  1/s --limit-burst 1 -j ACCEPT
$ iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
$ iptables -A INPUT -p icmp -j DROPiptables -A OUTPUT -p icmp -j ACCEPT

使用 SYNPROXY 緩解 SYN 泛洪

$ iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack
$ iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
$ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

阻止非 SYN 的新數據包

$ iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP


$ iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

強制碎片數據包檢查

$ iptables -A INPUT -f -j DROP

XMAS 包

$ iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

丟棄所有 NULL 數據包

$ iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

阻止不常見的 MSS 值

$ iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

阻止帶有虛假 TCP 標志的數據包

$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

阻止來自私有子網的數據包(欺騙)

_subnets=("224.0.0.0/3" "169.254.0.0/16" "172.16.0.0/12" "192.0.2.0/24" "192.168.0.0/16" "10.0.0.0/8" "0.0.0.0/8" "240.0.0.0/5")for _sub in "${_subnets[@]}" ; do  iptables -t mangle -A PREROUTING -s "$_sub" -j DROPdoneiptables -t mangle -A PREROUTING -s 127.0.0.0/8 ! -i lo -j DROP

另見