一、禁ping

1.暂时性:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

永久性：

2.vi /etc/sysctl.conf
增加：
net.ipv4.icmp_echo_ignore_all = 1
保存后执行sysctl -p

3. iptables –A –INPUT –p icmp –s 192.168.1.10 –j DROP

  Iptables –A –INPUT –p icmp –j DROP

service iptables save

二、禁止访问网页

  1.  Iptables –A INPUT –p tcp –s 192.168.1.10 –d 192.168.2.20 –dport 80 –j DROP访问web服务目的是192.168.1.20 访问192.168.2.20 的丢弃

 2.  Iptables –A INPUT –p tcp –d 192.168.1.20 –dport 80 –j DROP 访问web服务目只要是目的是192.168.1.20全丢

3.  Iptables –A INPUT –p tcp –s 192.168.1.34 –dport 80 –j DROP 访问web服务目只要是源ip为192.168.1.34全丢

三、禁止DNS解析

Iptables –A INPUT –p udp  --sport 53 –j ACCEPT 禁止所有DNS访问请求

四、清除、查看、保存iptables规则

Iptabls –F 清除filter

Iptables –N 清除nat

Iptables –L 查看

Service iptables save 保存

五、拒绝所有访问

Iptables –P INPUT DROP

Iptables –P OUTPUT DROP

Iptabes –P FORWARD DROP

可以访问web iptables-A INPUT -p tcp --dport 80 -j ACCEPT

            Iptables –A OUTP -P tcp --sport 80 -J ACCEPT

可以访问dns iptables -A INPUT -p udp --dport 53 -j ACCEPT

            Iptables -A OUTP -P udp --sport 53 -J ACCEPT

限制流量

Iptables -A INPUT  -p icmp -m --limit 2/s --limit  --limit burst 4 -j ACCEPT

NAT地址转换

Eth1外网网卡

做NAT前关闭所有转发iptables –P FORWARD DROP

多地址转换

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 192.168.2.20

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth0 -j DNAT –to 192.168.2.20

网关  转换

iptables -A PREROUTING -i eth1 -d 202.110.123.100 -j DNAT --to 192.168.1.100

iptables -A POSTROUTING -o eth1 -s 192.168.1.100 -j SNAT --to 202.110.123.100

Iptables -t nat -A PREROUTING –P TCP –d 184.164.72.181 -dport 80 –J DNAT –to 192.168.1.10 网站服务映射

Iptables –t nat –A PREROUTING –p tcp –dport 80 –j DNAT –to 218.2.135.1 所有内网访问80全部重定向到 218.2.135.1

Iptables –t nat –A PREROUTING –P udp –I eth0 –dport 53 –j DNAT –TO 8.8.8.8 所有内网DNS解析都使用8.8.8.8