榆树网

Recent这个模块还有一个好处就是可以在各个table中随便调用，如，某些事件可以在filter这个table中触发，然后再nat这个table中来检查。

这也是很艺术的配置：
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -m recent --update --seconds 60 --name SSH --rsource -j DNAT --to-destination 192.168.1.1:8080
COMMIT
# Completed on Mon Sep 21 08:34:56 2009
# Generated by iptables-save v1.4.0 on Mon Sep 21 08:34:56 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set --name SSH --rsource -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

如果你访问该主机的80端口，默认访问的是该机器的web服务，但是在访问80端口之前先访问22端口，之后访问80端口就定向到别的机器了。

相关文章

• 通过iptables的recent模块保护某些私有服务 (2)
• 巧用Recent模块加固Linux安全 (1)
• Linux NAT之LOG问题 (0)
• 单IP做NAT支持的最大连接数问题 (0)
• 用iptables做NAT地址池问题 (0)