Netfilter Iptables

#Regra baseada em endereço físico mac address:

iptables -A INPUT -m mac --mac-source EF:EF:EF:EF:EF:EF -j DROP


#Regra baseada em Range de IP's:

iptables -A INPUT -m iprange --src-range 192.168.1.1-192.168.1.50 -j DROP
iptables -A INPUT -m iprange --dst-range 192.168.1.200-192.168.1.254 -j DROP


#Rega baseada em alguma “Palavra”:

iptables -A INPUT -m string --algo bm --string “facebook” -j DROP
iptables -A INPUT -m string --algo bm --string “instagram” -j DROP


#Regra para dar um limite aos pacotes icmp:

iptables -A INPUT -p icmp --icmp-type 0  -m limit --limit 1/s \

--limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8  -m limit --limit 1/s \

--limit-burst 1 -j ACCEPT


#Regra para multiplas portas:

iptables -A INPUT -p tcp -m multiport --sports 80,443,995,8080 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,23,3389 -j DROP


#Regra para criar Logs limitados:

iptables -A INPUT -m limit --limit 1/m –limit-burst 1 \

 -j LOG --log-prefix “FW_INPUT_log:”



#Mascaramento de IP's, escolhendo range de portas altas de saída:

iptables -t nat -A POSTROUTING -p tcp -m tcp \

-j MASQUERADE --to-ports  1025-10240 -s 192.168.1.0/24


#Redirecionamento de IP's (força o acesso ao proxy por exemplo)

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 \

--dport 80 -j  REDIRECT --to-port 3128


#Redirecionamento de Serviço (redireciona um IP pra outro serviço)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \

-j DNAT --to-destination 192.168.1.254:8080