Update iptables.md
ref. https://blog.siphos.be/2013/05/secmark-and-selinux/
This commit is contained in:
Jack.A.Black
小弟调调™
parent
0c35f7dbb7
commit
9ce61d6dbb
|
|
@ -154,6 +154,7 @@ iptables还支持自己定义链。但是自己定义的链,必须是跟某种
|
||||||
- **DNAT** :目标地址转换。
|
- **DNAT** :目标地址转换。
|
||||||
- **MASQUERADE** :IP伪装(NAT),用于ADSL。
|
- **MASQUERADE** :IP伪装(NAT),用于ADSL。
|
||||||
- **LOG** :日志记录。
|
- **LOG** :日志记录。
|
||||||
|
- **SEMARK** : 添加SEMARK标记以供网域内强制访问控制(MAC)
|
||||||
|
|
||||||
```shell
|
```shell
|
||||||
┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
|
┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
|
||||||
|
|
@ -390,6 +391,12 @@ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd
|
||||||
iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT
|
iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT
|
||||||
```
|
```
|
||||||
|
|
||||||
|
#### 添加SECMARK记录
|
||||||
|
```shell
|
||||||
|
iptables -t mangle -A INPUT -p tcp --src 192.168.1.2 --dport 443 -j SECMARK --selctx system_u:object_r:myauth_packet_t
|
||||||
|
# 向从 192.168.1.2:443 以TCP方式发出到本机的包添加MAC安全上下文 system_u:object_r:myauth_packet_t
|
||||||
|
```
|
||||||
|
|
||||||
## 更多实例
|
## 更多实例
|
||||||
> 用iptables搭建一套强大的安全防护盾 http://www.imooc.com/learn/389
|
> 用iptables搭建一套强大的安全防护盾 http://www.imooc.com/learn/389
|
||||||
|
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue