Blog

这个内置的匹配不用加 -m (match)就可以实现

internet protocol ip协议

-d [!] addr[/mask] 目标地址或范围
–destination 同-d
–dst 同-d

[!] -f 第二标识，链接追踪会自动识别，不常用

-i [!] 在哪个interface，后面有+，则会匹配所有有这个名字的interface
–in-interface 同 -i

-o [!] 不在哪个interface，后面有+，则不会匹配所有有这个名字的interface
–out-interface 同 -o

-p [!] 原始协议名或识别码，在 /etc/protocols 文件中或参见http://www.iana.org/assignments/protocol-numbers.

-p 隐藏-m选项的，协议如 icmp, tcp, or udp.

-s [!] addr[/mask] 原地址或范围
–source Synonym for -s.
–src Synonym for -s.

可以用老式的 dotted-quad notation 点分四组表示法，如192.168.1.0/255.255.255.0，或

Common Inter-Domain Routing(CIDR)表示法，如192.168.1.0/24

Internet Control Message Protocol(ICMP)

ICMP的头信息如图

–icmp-type[!] typename匹配类型
–icmp-type[!] type[/code]匹配标识码

这个内置的target使内核不继续处理这条链，也不给发送者发送任何的拒绝信息。

只有DROP target 和 ACCEPT target 可以被用来当做内部链

可以看REJECT target，它会给发送者发送一个ICMP回复

禁止上某网站：

iptables -I OUTPUT -p tcp -m string --string "jd.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "58.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "taobao.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "v2ex.com" --algo bm -j DROP
iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP

也可以使用reject

iptables -I OUTPUT -p tcp -m string --string "v2ex.com" --algo bm -j REJECT

删除一条记录

iptables -D OUTPUT 3

禁用 4001 端口

/sbin/iptables -A INPUT -p tcp --destination-port 4001 -j DROP

临时禁用到 domain.com 的访问

iptables -A INPUT -d domain.com -j REJECT

iptables -L -n --line-numbers

如果你的机器是 NAT

Destination Network Address Translation (DNAT)是通过修改包的目标地址和/或端口实现的。如果目标地址是多个，这些地址就会被分离。连接跟踪信息确保包的每一个地址走向同一主机和端口。

选项

--to-destination a1[-a2][:p1-p2]

a1和a2标明了目标地址，p1和p2标明了端口范围。

DNAT target只在nat表的PREROUTHING和OUTPUT链中可有

如：从80端口进来的包传到内部监听的电脑192.168.1.80

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.80

注意：当使用这种DNAT时，将内外DNS区分，才可以使内网的主机使用内部地址访问外网。