Reguły iptables

otwarcie portu

iptables -I INPUT -p tcp -m tcp --dport 5666 -j ACCEPT

blokady p2p dla całej sieci w godzinach od 17 do 22

iptables -t mangle -A PREROUTING -m time --timestart 17:00 --timestop 22:00  -m ipp2p --ipp2p -j DROP

blokada p2p dla konkretnego ip w godzinach 17 do 22

	iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP

blokada p2p dla konkretnego ip

	iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP

proxy dla całej sieci na porcie 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3128

przekierowanie portu 4657 dla ip 192.168.0.11 (np dla p2p)

	iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 4657 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 4657 -j DNAT –to 192.168.0.11

blokada adresu mac

	iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP

iptables -A FORWARD -m mac –mac-source 00:00:00:00:00:01 -j DROP

ograniczenie ilości połączeń do 70

	iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP

blokada określonych portów (przykładowo od 600 do 800) dla określonego ip 192.168.0.11

iptables -I FORWARD -s 192.168.0.11 -p tcp –dport 600:800 -j DROP iptables -I FORWARD -s 192.168.0.11 -p udp –dport 600:800 -j DROP

blokada adresu ip

	iptables -A INPUT -s 192.168.0.11 -j DROP

iptables -A FORWARD -s 192.168.0.11 -j DROP iptables -A INPUT -d 192.168.0.11 -j DROP iptables -A FORWARD -d 192.168.0.11 -j DROP

blokada „podudostępniania” internetu (TTL) dla konkretnego ip

	iptables -t mangle -A POSTROUTING -d 192.168.0.11 -j TTL --ttl-set 1

blokada „podudostępniania” internetu (TTL) dla całej sieci

	iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1

otwarcie portu 123 na interfejsie eth0 (zewnetrzny interfejs)

	iptables -A INPUT -p tcp -i eth0 --dport 123 -j ACCEPT

Blokada wysyłania poczty na porcie 25 dla konkretnego usera:

	iptables -I FORWARD -p tcp --dport 25 -s 192.68.1.17 -j DROP

przekierowanie wszystkich portow na wirtualny serwer www BLOKADA

	iptables -A PREROUTING -t nat -s 192.168.1.12 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:83

przekierowanie wszystkich portow na wirtualny serwer www ODBLOKOWANIE

	iptables -D PREROUTING -t nat -s 192.168.1.12 -p tcp --dport 1:65535 -j DNAT --to- 192.168.1.1:83

Blokada publicznego adresu ip

	iptables -I FORWARD -d xx.xx.xxx.xxx -j DROP

Blokada puli publicznych adresów ip

	iptables -I FORWARD -m iprange --dst-rang xx.xx.xxx.xxx-xx.xx.xxx.xxx -j DROP

Przekierowanie portu na inny ip i port

      iptables -I FORWARD -p tcp -d 1.1.1.1 --dport 1250 -j ACCEPT
      iptables -t nat -I PREROUTING -p tcp -d 1.1.1.1 --dport 1250 -j DNAT --to 2.2.2.2:21

Maskarada

	echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0/0 -j MASQUERADE

Zmiana adresu mac

	ifconfig wlan0 hw ether 00:aa:aa:aa:aa:aa

Aby dodać regułę w konkretnym miejscu iptables zamiast:

iptables -A FORWARD ...

wprowadzamy

iptables -I FORWARD [nr linii] ...

IPCOP

blokowanie mac adresu

iptables -I INPUT 1 -m mac --mac-source 00:00:00:00:00:00 -j DROP
iptables -I FORWARD 1 -m mac --mac-source 00:00:00:00:00:00 -j DROP

blokowanie zewnętrznego ip

iptables -I INPUT 1 -s 213.180.132.152 -j DROP
iptables -I FORWARD 1 -s 213.180.132.152 -j DROP

Zapis reguł

ubuntu

iptables-save > /etc/iptables.rules

CentOS

service iptables save