近期无聊看了一下自己服务器的加固，固定的IP地址+固定的Mac地址允许登录我的服务器，然后我发现我设置的允许Mac地址登录的规则根本不生效（把固定IP地址的策略取消后） 看一下具体的规则：

规则上没有任何问题，理论上，防火墙在检测到我的笔记本的mac地址后，应该会放行我的登……

我们可以通过xt_limit.ko模块来限制每分钟进入服务器的数据包 栗子： iptables -A INPUT -p icmp –icmp-type 8 -m limit –limit 6/m –limit-burst 10 -j ACCEPT iptables -A INPUT -p icmp &#……

我们可以针对服务器上的用户进行策略的编写 但是，注意，netfilter提供两种匹配方式 –uid -owner userid | username 例如： iptables -A OUTPUT -p tcp -m owner –uid-owner jacky –dport 80 -j ACCEPT 说……

  有时候我们服务器可能是开放的服务比较多，所以我们要写好多条差不多的规则，只不过是端口号不一样，这样就会让匹配的效率下降很多 例如： iptables -A INPUT -p tcp –syn -m state –state NEW –dport 22 -j ACCEPT iptables ……

关于TCP的三次握手 在建立连接之前，客户端先发送一个带有syn标示的数据包给服务器，这个数据包就是连接请求包，服务器应答一个带有syn及ack的包给客户端，表示服务器已经做好了准备，接着客户端再发送一个ack表标记的数据包给服务器端，完成以上流程后，TCP正式连接 这就是传说中的3次握手 上边说了建立链接的时候，那么终止链接的时候呢? ……

MAC地址的匹配 以太网包头中记录这数据来源的MAC地址，以及目的的MAC地址，我们可以通过xt_mac.ko模块来控制MAC地址的匹配规则 举个栗子： iptables -A INPUT -p tcp –dport 3306 -m mac –mac-source 00:02:B3:0C:23:1B -j ACCE……

time模块是由xt_time.ko模块提供的，主要的作用就是指定某条规则的生效时间，例如，限制上班时间大家不允许访问www.taobao.com,然后下班的时候再允许大家访问 iptables -A FORWARD -p tcp -i eth0 -o eth1 -d www.taobao.com -m time –weekd……

有时候我们需要限制局域网中的主机一个小时或者一天能够下载的数据包的总量，因为总是有人一直在下载个没完没了…,这个时候我们就可以使用quota来控制 举个例子：

单位是字节，quota的成立条件是小……

一、 内置匹配方式 1：接口的匹配方式       在Netfilter内置的匹配方式中，我们可以将数据包“进出”的“接口”作为匹配的条件：例如        iptables -t filter -A forward -i eth0 -o eth1 -j Drop        其中使用了-i 和 -o 连个参数来标明数据包的进出方向，……

NAPT （Network Address Port Translation） 一个可以让一个公网IP多个机器使用（但是不能使用相同端口的服务） 有时候，我们只有一个公网IP，然后我们可能想跑Apache服务和Mail服务，当然，放一个机器当然可以，我们说的是如果我们想分别放到局域网的两台主机上 如下图： Web服务器： 只需要80端口和……