iptables拓展规则（多端口、根据IP地址范围、MAC地址设置）

iptables在基本过滤条件的基础上还可以扩展其他条件，在使用时需要使用-m参数来启动这些扩展功能，语法如下：

一：根据MAC地址过滤

1）根据IP过滤的规则，当对方修改IP后，防火墙会失效

#设置规则禁止192.168.4.10使用ssh远程本机

但是，当client主机修改IP地址后，该规则就会失效，注意因为修改了IP，对client主机的远程连接会断开。 根据MAC地址过滤，可以防止这种情况的发生。

2）可以通过NMAP扫描对方的mac地址

拒绝52:54:00:65:44:B1 这台主机远程本机

二：基于多端口设置过滤规则

一次需要过滤或放行很多端口

例：一次性开启20,25,80,110,143,16501到16800所有的端口

提示：多端口还可以限制多个源端口，但因为源端口不固定，一般不会使用，限制多个源端口的参数是--sports.

三：根据IP地址范围设置规则

1）允许从 192.168.4.10-192.168.4.20 主机ssh远程登录本机

注意：这里也可以限制多个目标IP的范围，参数是--dst-range,用法与山兆--src-range一致。

2）禁止从 192.168.4.0/24 网段其他的主机ssh远程登录本机

所有iptables规则都是冲唯兄临时规则，如果需要永久保留规则需要执行如下命令:

安装iptables-services并启动服务，保存防火墙规则。

防火墙规则存放文件：

/etc/sysconfig/iptables

iptables其他拓展模块散袭还有很多，可以通过 man iptables-extensions 命令去查看。

     ip加端口ping的方法是：

      1、Windows下的方法：打开CMD窗口，输毁此入命令：tcping指定的IP或者域名端口号。输入完回车拍樱就可以查看这个IP的端口是否是通着的。比如：tcping10.20.66.378090。

      2、Linux下的方法：在linux下，我们就直接可以用telnet命令来测试端口是否畅通。具体用法袭余丛：telnet指定的IP或者域名端口号比如：telnet10.20.66.3780。

interface s0

主地址：ip address 1.1.1.1 255.255.255.0

副地址：ip address 2.2.2.2 255.255.255.0 secondary

可以连斗伍接两个域，但同一时刻只能使用一个地址，某些地橡肆方可以同时梁销轿满足1.0和2.0的通讯，但CPU和内存的消耗非常大，不建议你配置~

---