指定地址之前的“!”参数表示反转地址。标志--src是此选项的别名。可以指定多个地址,但这将扩展到多个规则(使用-A添加时),或将导致多个规则被删除(使用-D)。 [!] -d, --destination address[/mask][,...] 指定目的地址。有关语法的详细描述,请参见-s(source)标志的描述。标志--dst是此选项的别名。 -m...
iptables-AFORWARD-p tcp-m iprange--src-range192.168.1.20-192.168.1.99-jDROP 代码语言:javascript 复制 说明:此处用“-m –iprange –src-range”指定IP范围。 7,防止单个ip访问量过大,防止syn攻击(限制单个ip的最大syn连接数) 代码语言:javascript 复制 iptables-IINPUT-p tcp--dport80-m connlimit--c...
例8:IP地址范围匹配 #iptables -t filter -A INPUT -p tcp -m iprange --src-range 192.168.1.5-192.168.1.15 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 例9:连接数限定(用于限定同一个客户端地址最多允许同时发起多少个请求的),表示不高于8个就允许,多于8个就禁止 #iptables -t filte...
--src-range --dst-range 没错,见名知意,上述两个选项分别用于匹配报文的源地址所在范围与目标地址所在范围。 示例如下: 上例表示如果报文的源IP地址如果在192.168.1.127到192.168.1.146之间,则丢弃报文,IP段的始末IP使用"横杠"连接,--src-range与--dst-range和其他匹配条件一样,能够使用"!"取反,有了前文中...
-s -source[!]address[/mask]指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码 或清楚的数字,在网络掩码的左边指定网络掩码左边”1”的个数,因此,mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志--src是这个选项的简写。
连接返回:src=192.168.0.2dst=6.7.8.9sport=8180dport=1080 是否使用:use=1 而从192.168.0.2发回的ip包,源端口为8180,目的地址为6.7.8.9,目的端口为1080,主机1.2.3.4的TCP/IP栈接收到该ip包后,由核心查找连接跟踪表中的连接返回栏目中是否有同样源和目的地址和端口的匹配项,找到后,根据条目中的记录将ip包的...
指定源地址,可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字,在网络掩码的左边指定网络掩码左边"1"的个数,因此,mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。
禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包 iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP 说明: 此处用“-m iprange --src-range”指定IP范围 1)过滤源地址范围: iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP...
iptables -A INPUT -m iprange --src-range 192.168.1.2-192.168.1.7 -j DROP 2)过滤目标地址范围: iptables -A INPUT -m iprange --dst-range 192.168.1.2-192.168.1.7 -j DROP 3)针对端口访问的过滤。下面表示除了192.168.1.5-192.168.1.10之间的ip能访问192.168.1.67机器的80端口以外,其他ip都不可以访问...