iptables基础和应用(3)

核心提示： ## 4.1.6 OUTPUT chain（过滤从防火墙送出的封包）### 从防火墙送出的 TCP 封包必须先进行 bad_tcp_packets 过滤$IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets# 从防火墙网卡送出的所有封包，通通放行$IPT

#

# 4.1.6 OUTPUT chain（过滤从防火墙送出的封包）

#

#

# 从防火墙送出的 TCP 封包必须先进行 bad_tcp_packets 过滤

$IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets

# 从防火墙网卡送出的所有封包，通通放行

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击　

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######

# 4.2 nat table

#

#

# 4.2.1 Set policies

#

#

# 4.2.2 Create user specified chains

#

#

# 4.2.3 Create content in user specified chains

#

#

# 4.2.4 PREROUTING chain（定义目的地地址转译）

#

# 从 WAN 要到校内服务器的封包，在封包过滤前先转译目的地 IP 为 NAT IP

$IPTABLES -t nat -A PREROUTING -d $HTTP1_IP -j DNAT --to-destination $LAN_HTTP1_IP

$IPTABLES -t nat -A PREROUTING -d $HTTP2_IP -j DNAT --to-destination $LAN_HTTP2_IP

$IPTABLES -t nat -A PREROUTING -d $HTTP3_IP -j DNAT --to-destination $LAN_HTTP3_IP

$IPTABLES -t nat -A PREROUTING -d $HTTP4_IP -j DNAT --to-destination $LAN_HTTP4_IP