REJECT:
• drop gói tin, đồng thời gởi gói tin ICMP trảlời về cho người gửi. Nếu đã gửi quá nhiều lần, sẽkhông gởi nữa.
• --reject-with type: gửi ICMP với type chỉ định.
–icmp-net-unreachable –icmp-host-unreachable –icmp-port-unreachable –icmp-proto-unreachable
An Ninh Mạng ATHENA , www.athena.com.vn
TARGET (tt)
TARGET (tt)
SNAT: chỉcó thểsửdụng trong table nat trong chain POSTROUTING
• --to-source address[-address][:port-port] • -j SNAT --to-source 172.20.12.88
DNAT: chỉcó thểsửdụng trong table nat trong chain PREROUTING
• --to-destination address[-address][:port-port] • -j DNAT --to-destination 10.0.0.2:80
MASQUERADE: là một dạng đặc biệt của SNAT.
REDIRECT: chuyển hướng của gói tin tới một port khác trên máy local.
• -j REDIRECT --to-ports 80
An Ninh Mạng ATHENA , www.athena.com.vn
Match
Match
-p [!] name: chọn những packet dựa trên protocol. Protocol có thểlà tên hoặc port tương
ứng trong file /etc/protocols.
-s [!] address[/mask]: chọn những packet dựa trên địa chỉnguồn. Address có thểlà hostname hoặc địa chỉIP.
-d [!] address[/mask]: cũng giống trường hợp trên nhưng là địa chỉ đích của packet.
An Ninh Mạng ATHENA , www.athena.com.vn
Match (tt)
Match (tt)
-i name: chọn packet được nhận từinterface name (input).
-o name: chọn những packet được gửi từ
interface name (output).
[!] –f: chọn những gói tin bịphân mảnh (từ
mảnh vụn thứhai).
An Ninh Mạng ATHENA , www.athena.com.vn
Match (tt)
Match (tt)
--sport [!] [port][:port]: chọn những packet có port nguồn xác định như trên
--dport [!] [port][:port]: chọn những packet có
port đích xác định như trên.
iptables –A INPUT -p tcp –s 10.1.1.0/24 –i eth0 -d 192.168.1.1 --dport 80 -j ACCEPT
An Ninh Mạng ATHENA , www.athena.com.vn