snort.iptables(nat,proxy)规则形式

snort规则形式

http:////blog.csdn.net/yygydjkthh/article/details/21765259

log udp any any -> 192.168.1.0/24 1:1024

记录来自任何端口的，目标端口范围在1到1024的udp流
log tcp any any -> 192.168.1.0/24 :6000
记录来自任何端口，目标端口小于等于6000的tcp流
log tcp any :1024 -> 192.168.1.0/24 500:

记录来自任何小于等于1024的特权端口，目标端口大于等于500的tcp流

alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content: "|00 01 86 a5|"; msg: "external mountd access";)
这个规则的ip地址代表"任何源ip地址不是来自内部网络而目标地址是内部网络的tcp包"。

alert tcp ![192.168.200.128/32] any -> 192.168.200.128/32 80 (logto:”task1”; msg:”this is task 1”; sid:1000001)

         alert 表示这是一个警告。tcp表示要检测所有使用tcp协议的包，因为http协议是tcp/ip协议的一部分。接下来的一部分表示源IP地址，其中！表示除了后面IP的所有IP，因此![192.168.200.128/32]表示的就是除了本机之外的所有主机。再后面的一个表示端口，any表示源IP地址任何一个端口，也就是说源IP地址的主机不管哪个端口发送的包都会被检测。->表示检测的包的传送方向，表示从源IP传向目的IP。下面的一个字段表示目的IP，在这里表示主机。后面的字段表示端口号，经过查阅相关资料，80端口在winxp中作为IIS对主机的访问端口。

         括号中的规则选项部分，logto表示将产生的信息记录到文件，msg表示在屏幕上打印一个信息，sid表示一个规则编号，如果不在规则中编写这个编号，则执行过程中会出错，而且这个编号是唯一的能够标识一个规则的凭证，1000000以上用于用户自行编写的规则。

         因此，这条规则会将除了本地主机之外的所有主机的所有端口发向本主机80端口的tcp数据包进行检测，并报警记录到日志文件中。

iptables规则形式

http://www.cnblogs.com/gergro/archive/2008/06/06/1215219.html

num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0

禁止一个IP或者一个IP段访问服务器端口服务

FTP端口
iptables -t filter -I INPUT 2 -s 192.168.7.9 -p tcp --dport ftp -j DROP

80端口
iptables -t filter -I INPUT 2 -s 192.168.5.0/24 -p tcp --dport http -j DROP

Proxy规则形式

http://www.cnblogs.com/puroc/p/6297851.html

从iptables的规则来看，对目的ip是10.254.181.6，端口是2181、2888或者3888的消息，规则指向了KUBE-SVC-HHEJUKXW5P7DV7BX、KUBE-SVC-2SVOYTXLXAXVV7L3、KUBE-SVC-KAVJ7GO67HRSOAM3，他们三又分别指向了KUBE-SEP-C3J2QHMJ3LTD3GR7、KUBE-SEP-RZ4H7H2HFI3XFCXZ、KUBE-SEP-BZJZKIUQRVYJVMQB，这三条规则定义了DNAT转换规则，将访问重定向到了10.0.45.4:3888、10.0.45.4:2888、10.0.45.4:2181