Linux内核防火墙iptables最常用命令(备忘查询)

介绍

iptables 使用三个不同的链来允许或阻止流量：输入(input)、输出(output)和转发(forward)

输入(input) —— 此链用于控制传入连接的行为
输出(output) —— 此链用于传出连接
转发(forward) —— 这条链用于传入的连接，这些连接实际上不是在本地传递的，比如路由和 NATing

安装 iptables

CentOS 7 上默认安装了 firewalld 作为防火墙，使用 iptables 建议关闭并禁用 firewalld。

$ systemctl stop firewalld
$ systemctl disable firewalld

安装 iptables

$ yum install -y iptables-services

服务管理

$ systemctl status iptables  # 查看服务状态
$ systemctl enable iptables  # 启用服务
$ systemctl disable iptables # 禁用服务
$ systemctl start iptables   # 启动服务
$ systemctl restart iptables # 重启服务
$ systemctl stop iptables    # 关闭服务

命令参数

基本语法：

$ iptables(选项)(参数)

-P	设置默认策略: iptables -P INPUT (DROP
-F	清空规则链
-L	查看规则链
-A	在规则链的末尾加入新规则
-I	num 在规则链的头部加入新规则
-D	num 删除某一条规则
-s	匹配来源地址 IP/MASK 加叹号"!"表示除这个 IP 外
-d	匹配目标地址
-i	网卡名称匹配从这块网卡流入的数据
-o	网卡名称匹配从这块网卡流出的数据
-p	匹配协议,如 tcp,udp,icmp
--dport num	匹配目标端口号
--sport num	匹配来源端口号

$ iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

开始配置规则

默认情况下，所有链都配置为接受规则，因此在强化过程中，建议从拒绝所有配置开始，然后只打开需要的端口：

$ iptables --policy INPUT DROP
$ iptables --policy OUTPUT DROP
$ iptables --policy FORWARD DROP

删除/插入规则

按链条和编号删除规则

$ iptables -D INPUT

按规范删除规则

$ iptables -D INPUT -m conntrack --ctstate INVALID -j DROP

刷新所有规则，删除所有链，并接受所有

$ iptables -P INPUT ACCEPT
$ iptables -P FORWARD ACCEPT
$ iptables -P OUTPUT ACCEPT
$ iptables -t nat -F
$ iptables -t mangle -F
$ iptables -F
$ iptables -X

# 冲洗所有链
$ iptables -F
# 刷新单链
$ iptables -F INPUT
# 插入规则
$ iptables -I INPUT 2 -s  -j DROP

显示规则

详细打印出所有活动的 iptables 规则

$ iptables -n -L -v

...具有行号的相同输出：

$ iptables -n -L -v --line-numbers

最后，相同的数据输出但与 INPUT/OUTPUT 链相关：

$ iptables -L INPUT -n -viptables -L OUTPUT -n -v --line-numbers

列出特定链的规则

$ iptables -L INPUT
# 具有规则规范的相同数据：
$ iptables -S INPUT
# 包含数据包计数的规则列表
$ iptables -L INPUT -v

保存规则

# 在基于 Debian 的系统上
$ netfilter-persistent save
# 在基于 RedHat 的系统上
$ service iptables save

iptables 示例

清空当前的所有规则和计数

$ iptables -F  # 清空所有的防火墙规则
$ iptables -X  # 删除用户自定义的空链
$ iptables -Z  # 清空计数

配置允许 ssh 端口连接

$ iptables -A INPUT -s / -p tcp --dport  -j ACCEPT

为你的 ssh 端口， -s / 表示允许这个网段的机器来连接，其它网段的 ip 地址是登陆不了你的机器的。-j ACCEPT 表示接受这样的请求

允许本地回环地址可以正常使用

$ iptables -A INPUT -i lo -j ACCEPT
# 本地圆环地址就是那个
# 是本机上使用的,它进与出都设置为允许
$ iptables -A OUTPUT -o lo -j ACCEPT

设置默认的规则

# 配置默认的不让进
$ iptables -P INPUT DROP
# 默认的不允许转发
$ iptables -P FORWARD DROP
# 默认的可以出去
$ iptables -P OUTPUT ACCEPT

配置白名单

# 允许机房内网机器可以访问
$ iptables -A INPUT -p all -s / -j ACCEPT 
# 允许机房内网机器可以访问
$ iptables -A INPUT -p all -s / -j ACCEPT 
# 允许  访问本机的端口
$ iptables -A INPUT -p tcp -s  --dport  -j ACCEPT

开启相应的服务端口

# 开启  端口，因为web对外都是这个端口
$ iptables -A INPUT -p tcp --dport  -j ACCEPT
# 允许被 ping
$ iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
# 已经建立的连接得让它进来
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存规则到配置文件中

# 任何改动之前先备份，请保持这一优秀的习惯
$ cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
$ iptables-save > /etc/sysconfig/iptables
$ cat /etc/sysconfig/iptables

列出已设置的规则

$ iptables -L [-t 表名][链名]

四个表名 raw，nat，filter，mangle
五个规则链名 INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
filter 表包含INPUT、OUTPUT、FORWARD三个规则链

# 列出 nat 上面的所有规则
$ iptables -L -t nat                
#            ^ -t 参数指定，必须是 raw， nat，filter，mangle 中的一个
# 规则带编号
$ iptables -L -t nat  --line-numbers
$ iptables -L INPUT
# 查看，这个列表看起来更详细
$ iptables -L -nv

清除已有规则

# 清空指定链 INPUT 上面的所有规则
$ iptables -F INPUT
# 删除指定的链，这个链必须没有被其它任何规则引用，
# 而且这条上必须没有任何规则
$ iptables -X INPUT
    # 如果没有指定链名，则会删除该表中所有非内置的链
# 把指定链，或者表中的所有链上的所有计数器清零
$ iptables -Z INPUT

删除已添加的规则

# 添加一条规则
$ iptables -A INPUT -s  -j DROP

将所有 iptables 以序号标记显示，执行：

$ iptables -L -n --line-numbers

比如要删除 INPUT 里序号为 8 的规则，执行：

$ iptables -D INPUT 8

开放指定的端口

# 允许本地回环接口(即运行本机访问本机)
$ iptables -A INPUT -s  -d  -j ACCEPT
# 允许已建立的或相关连的通行
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许所有本机向外的访问
$ iptables -A OUTPUT -j ACCEPT
# 允许访问端口
$ iptables -A INPUT -p tcp --dport  -j ACCEPT
# 允许访问端口
$ iptables -A INPUT -p tcp --dport  -j ACCEPT
# 允许ftp服务的端口
$ iptables -A INPUT -p tcp --dport  -j ACCEPT
# 允许FTP服务的端口
$ iptables -A INPUT -p tcp --dport  -j ACCEPT
# 禁止其他未允许的规则访问
$ iptables -A INPUT -j reject
# 禁止其他未允许的规则访问
$ iptables -A FORWARD -j REJECT

屏蔽 IP

# 屏蔽恶意主机（比如，
$ iptables -A INPUT -p tcp -m tcp -s  -j DROP
# 屏蔽单个IP的命令
$ iptables -I INPUT -s  -j DROP
# 封整个段即从到的命令
$ iptables -I INPUT -s /8 -j DROP
# 封IP段即从到的命令
$ iptables -I INPUT -s / -j DROP
# 封IP段即从到的命令是
$ iptables -I INPUT -s / -j DROP

指定数据包出去的网络接口

只对 OUTPUT，FORWARD，POSTROUTING 三个链起作用。

$ iptables -A FORWARD -o eth0

查看已添加的规则

$ iptables -L -n -v
Chain INPUT (policy DROP  packets, 2690K bytes)
 pkts bytes target     prot opt in     out     source               destination
   589K ACCEPT     all  --  lo     *       /0            /0
 191K   90M ACCEPT     tcp  --  *      *       /0            /0           tcp dpt:
1499K  133M ACCEPT     tcp  --  *      *       /0            /0           tcp dpt:
4364K 6351M ACCEPT     all  --  *      *       /0            /0           state RELATED,ESTABLISHED
   327K ACCEPT     icmp --  *      *       /0            /0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
 pkts bytes target     prot opt in     out     source               destination
   589K ACCEPT     all  --  *      lo      /0            /0

启动网络转发规则

公网让内网/上网

$ iptables -t nat -A POSTROUTING -s / -j SNAT --to-source

端口映射

本机的端口映射到内网虚拟机的端口

$ iptables -t nat -A PREROUTING -d  -p tcp --dport   -j DNAT --to-dest :

字符串匹配

比如，我们要过滤所有 TCP 连接中的字符串test，一旦出现它我们就终止这个连接，我们可以这么做：

$ iptables -A INPUT -p tcp -m string --algo kmp --string "test" -j REJECT --reject-with tcp-reset
$ iptables -L
# Chain INPUT (policy ACCEPT)
# target     prot opt source          destination
# REJECT     tcp  --  anywhere        anywhere        STRING match "test" ALGO name kmp TO  reject-with tcp-reset
#
# Chain FORWARD (policy ACCEPT)
# target     prot opt source          destination
#
# Chain OUTPUT (policy ACCEPT)
# target     prot opt source          destination

阻止 Windows 蠕虫的攻击

$ iptables -I INPUT -j DROP -p tcp -s /0 -m string --algo kmp --string "cmd.exe"

防止 SYN 洪水攻击

$ iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT

允许环回连接

$ iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT

允许已建立和相关的传入连接

$ iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

允许已建立的传出连接

$ iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

内部到外部

$ iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

丢弃无效数据包

$ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

阻止 IP 地址

$ iptables -A INPUT -s  -j DROP

阻止和 IP 地址并拒绝

$ iptables -A INPUT -s  -j REJECT

阻止与网络接口的连接

$ iptables -A INPUT -i eth0 -s  -j DROP

允许所有传入的 SSH

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许来自特定 IP 地址或子网的传入 SSH

$ iptables -A INPUT -p tcp -s / --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许传出 SSH

$ iptables -A OUTPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A INPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许来自特定 IP 地址或子网的传入 Rsync

$ iptables -A INPUT -p tcp -s / --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许传入 HTTP

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许传入 HTTPS

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许传入 HTTP 和 HTTPS

$ iptables -A INPUT -p tcp -m multiport --dports , -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp -m multiport --dports , -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许来自特定 IP 地址或子网的 MySQL

$ iptables -A INPUT -p tcp -s / --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许 MySQL 到特定的网络接口

$ iptables -A INPUT -i eth1 -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth1 -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许来自特定 IP 地址或子网的 PostgreSQL

$ iptables -A INPUT -p tcp -s / --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许 PostgreSQL 到特定的网络接口

$ iptables -A INPUT -i eth1 -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -o eth1 -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

阻止传出 SMTP 邮件

$ iptables -A OUTPUT -p tcp --dport  -j REJECT

允许所有传入的 SMTP

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的 IMAP

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的 IMAPS

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的 POP3

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的 POP3S

$ iptables -A INPUT -p tcp --dport  -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport  -m conntrack --ctstate ESTABLISHED -j ACCEPT

在公共接口上删除专用网络地址

$ iptables -A INPUT -i eth1 -s / -j DROP
$ iptables -A INPUT -i eth1 -s /8 -j DROP

将所有传出到 Facebook 网络

获取 Facebook 作为：

$ whois -h v4.whois.cymru.com " -v $(host facebook.com | grep "has address" | cut -d " " -f4)" | tail -n1 | awk '{print $1}'

降低：

$ for i in $(whois -h whois.radb.net -- '-i origin AS1273' | grep "^route:" | cut -d ":" -f2 | sed -e 's/^[ \t]*//' | sort -n -t . -k 1,1 -k 2,2 -k 3,3 -k 4,4 | cut -d ":" -f2 | sed 's/$/;/') ; do  iptables -A OUTPUT -s "$i" -j REJECTdone

记录和丢弃数据包

$ iptables -A INPUT -i eth1 -s /8 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s /8 -j DROP

默认情况下，所有内容都记录到 /var/log/messages 文件中：

$ tail -f /var/log/messagesgrep --color 'IP SPOOF' /var/log/messages

记录和丢弃日志条目数量有限的数据包

$ iptables -A INPUT -i eth1 -s /8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s /8 -j DROP

丢弃或接受来自 Mac 地址的流量

$ iptables -A INPUT -m mac --mac-source :0F:EA::: -j DROP
$ iptables -A INPUT -p tcp --destination-port  -m mac --mac-source :0F:EA::: -j ACCEPT

阻止或允许 ICMP Ping 请求

$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
$ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

使用 multiport 指定多个端口

$ iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports ssh,smtp,http,https -j ACCEPT

使用random或nth进行负载平衡

_ips=("" "" "" "")for ip in "${_ips[@]}" ; do  iptables -A PREROUTING -i eth0 -p tcp --dport  -m state --state NEW -m nth --counter 0 --every 4 --packet 0 \    -j DNAT --to-destination ${ip}:80done

_ips=("" "" "" "")for ip in "${_ips[@]}" ; do  iptables -A PREROUTING -i eth0 -p tcp --dport  -m state --state NEW -m random --average  \    -j DNAT --to-destination ${ip}:80done

使用 limit 和iplimit*限制连接数

$ iptables -A FORWARD -m state --state NEW -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m limit --limit /hour --limit-burst 5 -j ACCEPT

$ iptables -A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP

维护要匹配的最近连接列表

$ iptables -A FORWARD -m recent --name portscan --rcheck --seconds  -j DROPiptables -A FORWARD -p tcp -i eth0 --dport  -m recent --name portscan --set -j DROP

匹配数据包数据负载中的 “string*”

$ iptables -A FORWARD -m string --string '.com' -j DROP
$ iptables -A FORWARD -m string --string '.exe' -j DROP

带有“时间*”的基于时间的规则

$ iptables -A FORWARD -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m time --timestart : --timestop : --days Mon,Tue,Wed,Thu,Fri -j ACCEPT

基于 TTL 值的数据包匹配

$ iptables -A INPUT -s  -m ttl --ttl-lt  -j REJECT

防止端口扫描

$ iptables -N port-scanningiptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURNiptables -A port-scanning -j DROP

SSH 暴力破解保护

$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --setiptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds  --hitcount  -j DROP

同步泛洪保护

$ iptables -N syn_floodiptables -A INPUT -p tcp --syn -j syn_floodiptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
$ iptables -A syn_flood -j DROPiptables -A INPUT -p icmp -m limit --limit  1/s --limit-burst 1 -j ACCEPT
$ iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
$ iptables -A INPUT -p icmp -j DROPiptables -A OUTPUT -p icmp -j ACCEPT

使用 SYNPROXY 缓解 SYN 泛洪

$ iptables -t raw -A PREROUTING -p tcp -m tcp --syn -j CT --notrack
$ iptables -A INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 
$ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

阻止非 SYN 的新数据包

$ iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

或

$ iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

强制碎片数据包检查

$ iptables -A INPUT -f -j DROP

XMAS 包

$ iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

丢弃所有 NULL 数据包

$ iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

阻止不常见的 MSS 值

$ iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss : -j DROP

阻止带有虚假 TCP 标志的数据包

$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
$ iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

阻止来自私有子网的数据包（欺骗）

_subnets=("/3" "/" "/" "/" "/" "

1.2.2名单的安装(破解_Steam离线玩家)_Dest名单For2K21使用教程

介绍

安装 iptables

服务管理

命令参数

开始配置规则

删除/插入规则

显示规则

列出特定链的规则

保存规则

iptables 示例

清空当前的所有规则和计数

配置允许 ssh 端口连接

允许本地回环地址可以正常使用

设置默认的规则

配置白名单

开启相应的服务端口

保存规则到配置文件中

列出已设置的规则

清除已有规则

删除已添加的规则

开放指定的端口

屏蔽 IP

指定数据包出去的网络接口

查看已添加的规则

启动网络转发规则

端口映射

字符串匹配

阻止 Windows 蠕虫的攻击

防止 SYN 洪水攻击

允许环回连接

允许已建立和相关的传入连接

允许已建立的传出连接

内部到外部

丢弃无效数据包

阻止 IP 地址

阻止和 IP 地址并拒绝

阻止与网络接口的连接

允许所有传入的 SSH

允许来自特定 IP 地址或子网的传入 SSH

允许传出 SSH

允许来自特定 IP 地址或子网的传入 Rsync

允许传入 HTTP

允许传入 HTTPS

允许传入 HTTP 和 HTTPS

允许来自特定 IP 地址或子网的 MySQL

允许 MySQL 到特定的网络接口

允许来自特定 IP 地址或子网的 PostgreSQL

允许 PostgreSQL 到特定的网络接口

阻止传出 SMTP 邮件

允许所有传入的 SMTP

允许所有传入的 IMAP

允许所有传入的 IMAPS

允许所有传入的 POP3

允许所有传入的 POP3S

在公共接口上删除专用网络地址

将所有传出到 Facebook 网络

记录和丢弃数据包

记录和丢弃日志条目数量有限的数据包

丢弃或接受来自 Mac 地址的流量

阻止或允许 ICMP Ping 请求

使用 multiport 指定多个端口

使用random*或nth*进行负载平衡

使用 limit 和iplimit*限制连接数

维护要匹配的最近连接列表

匹配数据包数据负载中的 “string*”

带有“时间*”的基于时间的规则

基于 TTL 值的数据包匹配

防止端口扫描

SSH 暴力破解保护

同步泛洪保护

使用 SYNPROXY 缓解 SYN 泛洪

阻止非 SYN 的新数据包

强制碎片数据包检查

XMAS 包

丢弃所有 NULL 数据包

阻止不常见的 MSS 值

阻止带有虚假 TCP 标志的数据包

阻止来自私有子网的数据包（欺骗）

使用random或nth进行负载平衡