#由于上条规则没有指定协议类型,默认会DROP掉所有协议类型
iptables -I INPUT -s 192.168.179.133 -d 192.168.179.135 -p tcp -j DROP
#-p支持的协议类型
centos6中,-p选项支持如下协议类型
tcp, udp, udplite, icmp, esp, ah, sctp
centos7中,-p选项支持如下协议类型
tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh
当不使用-p指定协议类型时,默认表示所有类型的协议都会被匹配到,与使用-p all的效果相同。
#指定网卡入口和出口
-i 只对PREROUTING INPUT FORWARD 有效
-o 只对FORWARD OUTPUT POSTRONTING 有效
iptables -I INPUT -s 192.168.179.0/24 -i eth0 -d 192.168.179.135 -p tcp -j DROP
############################以上都属于iptables的基本匹配条件
############################以下属于iptables的扩展匹配条件
#指定源端口和目标端口
--dport --sport
#通常需要指定扩展模块 -m 普通模块(tcp,udp,icmp) 扩展模块(multiport --dports)
#禁掉单个指定端口
iptables -I INPUT -s jack6 -d jack7 -p tcp -m tcp --dport 22 -j DROP
#禁掉连续端口
iptables -I INPUT -s jack6 -d jack7 -p tcp -m tcp --dport 22:80 -j DROP
#禁掉多个不连续的端口
iptables -I INPUT -s jack6 -d jack7 -p tcp -m multiport --dports 22,80:8888,3306 -j DROP
通常 不指定 -m 的原因是,有的模块和协议同名,例如tcp,udp,默认会以-p指定的协议类型作为模块
--dports 不属于基础协议的模块,所以必须指定multiport木块
原文:https://blog.51cto.com/13434656/2524683