|
|
楼主 |
发表于 2022-7-3 08:31:37
|
显示全部楼层
示例 1. 删除已有规则6 m5 X+ [( w( B `
在开始创建iptables规则之前,你也许需要删除已有规则。命令如下:
' w e) D4 N* ?9 L& ^: S* [
5 t/ o) Z2 b) }* `/ f1 ziptables -F
: ]9 i0 o" N; a) W2 V8 k
. t7 k/ L! e7 p% V; R( or)
1 f& P& }1 y! c+ x4 b! G4 u7 Z8 F; u" F& j7 y
iptables – flush
: H8 @' ]/ J. j. f2 h; X) E' V0 X1 H" L) R
2.设置链的默认策略4 v1 J: F2 R6 I* k( x
- m' t6 N' q% V. R( \9 Y) [
链的默认政策设置为”ACCEPT”(接受),若要将INPUT,FORWARD,OUTPUT链设置成”DROP”(拒绝),命令如下:7 H7 h$ M' r$ s3 [( ?. T
& S. Y2 ~% c7 Y$ G: h& I' Uiptables -P INPUT DROP
" F& y( Y. z s- v: q- u1 w9 o
* U6 s" K2 N( i- Yiptables -P FORWARD DROP( t ?0 P/ y9 q- ?, L. |( |# a! x( E
% e1 c# C( ]( o+ n% K3 l
iptables -P OUTPUTDROP
0 a7 K# ?" c; y3 t# x3 u
. d( q) R- V4 F* }. D* ?7 Y4 A3 u当INPUT链和OUTPUT链都设置成DROP时,对于每一个防火墙规则,我们都应该定义两个规则。例如:一个传入另一个传出。在下面所有的例子中,由于我们已将DROP设置成INPUT链和OUTPUT链的默认策略,每种情况我们都将制定两条规则。当然,如果你相信你的内部用户,则可以省略上面的最后一行。例如:默认不丢弃所有出站的数据包。在这种情况下,对于每一个防火墙规则要求,你只需要制定一个规则——只对进站的数据包制定规则。
" u8 S- k. R1 x* c- D2 c; @: Z, K n- g8 ~9 w) i
3. 阻止指定IP地址
+ Y3 V p$ f. {% A9 p" L0 K
2 x i6 M- u/ u: A4 A例:丢弃来自IP地址x.x.x.x的包! X% s+ B @* @7 g! r) P
4 [! b4 D3 T9 K4 C4 V! ~
BLOCK_THIS_IP= "x.x.x.x"3 v! {; X, ]( V) w- O) \& a) J
7 c9 I- e: {# ^2 _; u% c: e8 Y$ j' R
iptables -A INPUT -s "$BLOCK_THIS_IP"-j DROP
! D& Y* M3 X5 V3 P j) `3 Q" `1 p' H: A4 `6 j& @5 e# N
注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析
5 \, C& j) @ i, U5 j0 s+ I; J
4 r/ L8 `# b% o% }% E例:阻止来自IP地址x.x.x.x eth0 tcp的包
* J g. Q; L4 H4 I3 w6 |; K# R0 q0 E. h4 E! o) Y1 z
iptables-A INPUT -i eth0 -s "$BLOCK_THIS_IP"-j DROP
& \0 Q2 {( r! c. v' a p/ u" C" z' M5 A, u
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP"-j DROP
9 v/ j1 I1 z; c5 E. ~3 ? b( K* Q3 Y" B0 g3 n
4. 允许所有SSH的连接请求
6 H. o9 O: Q# y2 ~
" h& ~* a n9 u' \7 k5 Z例:允许所有来自外部的SSH连接请求,即只允许进入eth0接口,并且目标端口为22的数据包' \* y3 Q. P% b
* Y; X, K/ _6 q* B& N% ~+ f: hiptables -A INPUT -i eth 0-p tcp --dport 22- mstate-- stateNEW,ESTABLISHED -j ACCEPT
' Q, g3 J0 Z1 s$ o: i% h0 K/ @
4 r( Q9 E* u7 g0 L$ v, iiptables -A OUTPUT -o eth 0-p tcp --sport 22- mstate-- stateESTABLISHED -j ACCEPT
) K/ C5 p4 l: m, L
H7 D* v0 h& O( L5. 仅允许来自指定网络的SSH连接请求
a4 k9 v1 p5 f' | `# P! {/ [: t
例:仅允许来自于192.168.100.0/24域的用户的ssh连接请求
8 I/ t9 x) q+ E! }
, r$ b: O2 [5 I8 K" [5 U0 ~7 siptables -A INPUT -i eth 0-p tcp - s192.168. 100.0/ 24--dport 22- mstate-- stateNEW,ESTABLISHED -j ACCEPT6 B" U. j8 J$ @0 r
0 V% V: O' x, R0 j4 a# Biptables -A OUTPUT -o eth 0-p tcp --sport 22- mstate-- stateESTABLISHED -j ACCEPT2 H- ^3 a8 ?# a* b1 c* F, w. Q
2 Q3 r. D L' s" w9 { H. M6.允许http和https的连接请求3 \4 O1 T3 | u/ k, j% Q! s
# k3 A4 Y8 j9 ~8 y8 [+ Q, N
例:允许所有来自web - http的连接请求
7 W) c' K3 \: |8 w0 n# C9 b1 F& E3 h) f0 Z* N0 q+ F/ Z
iptables -A INPUT -i eth 0-p tcp --dport 80- mstate-- stateNEW,ESTABLISHED -j ACCEPT
0 G* G5 b! s. [9 I I, F& N5 z: _/ M8 k( ?8 i5 m
iptables -A OUTPUT -o eth 0-p tcp --sport 80- mstate-- stateESTABLISHED -j ACCEPT
: O7 ?5 N% ]* g: a, _- p5 e: S2 }/ U8 e/ x; O! A
例:允许所有来自web - https的连接请求! [. t2 x2 K* j$ |. H. O
' ?7 b, x1 X% A8 j( K; _8 k3 Fiptables -A INPUT -i eth 0-p tcp --dport 443- mstate-- stateNEW,ESTABLISHED -j ACCEPT) C9 M+ v; Z+ J/ z* t" p" y/ _
0 I, P1 Q0 l `1 Q
iptables -A OUTPUT -o eth 0-p tcp --sport 443- mstate-- stateESTABLISHED -j ACCEPT
! A' n0 i1 g1 U8 \% M4 a3 i h8 N% c. ?, S7 _
7. 使用multiport 将多个规则结合在一起
6 Z) n2 q, X2 m- w$ c
$ b' t% j P, d8 I允许多个端口从外界连入,除了为每个端口都写一条独立的规则外,我们可以用multiport将其组合成一条规则。如下所示:& J+ x0 Q" ^2 v8 d) Q4 b i
' A$ l/ l8 u, N+ b* X' H6 g2 f
例:允许所有ssh,http,https的流量访问
1 p8 v! r- T5 p4 f5 j" l/ e+ w" f4 i7 x
iptables -A INPUT -i eth 0-p tcp - mmultiport --dports 22, 80, 443- mstate-- stateNEW,ESTABLISHED -j ACCEPT
' b- [: ]7 ^7 m" h% c% c: M0 x+ O t9 M- z0 _; ^0 R2 ?. G
iptables -A OUTPUT -o eth 0-p tcp - mmultiport --sports 22, 80, 443- mstate-- stateESTABLISHED -j ACCEPT- M3 [! h# h. Y2 V2 c- A
$ T& w4 g; M8 {- [4 V
8. 允许从本地发起的SSH请求iptables -A OUTPUT -o eth 0-p tcp --dport 22- mstate-- stateNEW,ESTABLISHED -j ACCEPT
( a: L: N8 \3 K( {, [2 o- o4 A+ J( k w1 o r( t1 `
iptables -A INPUT -i eth 0-p tcp --sport 22- mstate-- stateESTABLISHED -j ACCEPT
( s7 B5 x! F/ o2 T% y( w/ U% n6 I: Y8 S! l
请注意,这与允许ssh连入的规则略有不同。本例在OUTPUT链上,我们允许NEW和ESTABLISHED状态。在INPUT链上,我们只允许ESTABLISHED状态。ssh连入的规则与之相反。+ c1 I2 o u: X5 S2 z
& T) i# K9 q: {$ r( a- ~6 d4 V9. 仅允许从本地发起到一个指定的网络域的SSH请求" S2 r3 u; _! T% k- i
1 m$ u/ t4 {) J& E
例:仅允许从内部连接到网域192.168.100.0/24
: W/ G# c/ L4 z' ]0 d
. [: M" i' F4 V; U) uiptables -A OUTPUT -o eth 0-p tcp -d 192.168. 100.0/ 24--dport 22- mstate-- stateNEW,ESTABLISHED -j ACCEPT w$ k3 f+ @* n5 C( W6 [% o& v- @
' z E' s/ {8 o+ e) h# G* k
iptables -A INPUT -i eth 0-p tcp --sport 22- mstate-- stateESTABLISHED -j ACCEPT
- y# Q+ @4 p. \# r& Z* c$ q- [( {6 ~3 M; d1 r0 H+ N- w$ j
10. 允许从本地发起的HTTPS连接请求
0 r, L5 p/ T. a2 m Y+ p
2 a1 Q- ]/ [( @0 u" u% @. e8 u% g下面的规则允许输出安全的网络流量。如果你想允许用户访问互联网,这是非常有必要的。在服务器上,这些规则能让你使用wget从外部下载一些文件 l5 c, T1 S( L( j" G
: W% s) ?0 ~9 U* k* Ziptables -A OUTPUT -o eth 0-p tcp --dport 443- mstate-- stateNEW,ESTABLISHED -j ACCEPT8 z3 `3 A; ]% M, u# K* I/ h" A
0 _ Q6 W8 k* L
iptables -A INPUT -i eth 0-p tcp --sport 443- mstate-- stateESTABLISHED -j ACCEPT
* i# g/ E$ F, H9 Q: S0 v1 n3 k: y* v( O! ]1 ?" f
注:对于HTTP web流量的外联请求,只需要将上述命令中的端口从443改成80即可。
/ \7 E4 v6 P9 v; Z. i# B3 \% s" {
0 c6 D( Q; a, _1 [, {) [6 d' A. _8 W11. 负载平衡传入的网络流量 c! v; Z% t3 R. j# N* g4 x
2 d; m& C4 w0 f. f7 U( p0 ]5 _
使用iptables可以实现传入web流量的负载均衡,我们可以传入web流量负载平衡使用iptables防火墙规则。8 _7 R& r$ m7 @1 j& ^1 z
, s$ m, G6 C }* U7 E) p. W
例:使用iptables nth将HTTPS流量负载平衡至三个不同的ip地址。
) G4 e7 h; x; G2 y+ k% P
5 e; W& }4 N2 B+ [- }+ ~8 Biptables-APREROUTING-ieth0-ptcp--dport443 -mstate--stateNEW-mnth--counter0 --every3 --packet0 -jDNAT--to-destination192 .168.1.101:443
2 N: ]' P0 w- k) `- F
% ^4 U( S& ^2 h- E2 niptables-APREROUTING-ieth0-ptcp--dport443 -mstate--stateNEW-mnth--counter0 --every3 --packet1 -jDNAT--to-destination192 .168.1.102:443 _7 {$ U! ~, |7 U
S6 z8 y0 _1 J3 {
iptables-APREROUTING-ieth0-ptcp--dport443 -mstate--stateNEW-mnth--counter0 --every3 --packet2 -jDNAT--to-destination192 .168.1.103:443
# ]4 S z) c) t3 S1 e: B: h6 Q
12. 允许外部主机ping内部主机iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
1 K, J# ^1 d8 K& S, \
3 n8 d, |8 G' m. ?iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT4 R% P( F" l1 t+ F
$ t" o, j3 |) _2 u0 Z! X13. 允许内部主机ping外部主机iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT% z9 R3 ?2 n. [1 [
1 q" w$ u+ I# l7 n1 H0 f7 N" niptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
( M* }& `: s' |1 f. G: a3 G+ s3 G
' u$ ]3 V4 Q+ d14. 允许回环访问
' R! u" C/ \5 d0 ]+ b5 v4 N: A3 a% Y4 C8 P8 N
例:在服务器上允许127.0.0.1回环访问。
) D& j( O& Q' n/ b7 W. h; r5 @$ q7 g# N }1 D
iptables-A INPUT -i lo -j ACCEPT% n- k% R5 H5 L2 F0 `$ Z5 L: q/ i
" P* C( W! y2 Z' _& ~0 a* D1 o& S- Liptables -A OUTPUT -o lo -j ACCEPT
5 l2 H3 e; q2 }( v0 v: Q7 z, Q
M- k% @6 X2 [7 y% \. z# ~6 W% _15. 允许内部网络域外部网络的通信
7 C3 l0 e. q8 e7 a8 T& v/ m1 P' z8 D+ ^
防火墙服务器上的其中一个网卡连接到外部,另一个网卡连接到内部服务器,使用以下规则允许内部网络与外部网络的通信。此例中,eth1连接到外部网络(互联网),eth0连接到内部网络(例如:192.168.1.x)。
$ T2 X2 C& s# A' Z* I |% b% U8 A4 O: X; G" c" {% d
iptables-A FORWARD -i eth0 -o eth1 -j ACCEPT& m; D6 V8 a H* a% k i8 K
% h$ B: e' N! L8 v" S
16. 允许出站的DNS连接iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
8 H4 s ~, _4 J, `2 m* s$ K
2 W$ N: M' A( S$ P' viptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT4 A( {) }9 E. K% S$ ~
/ C) }/ K5 g& O# |$ S6 [
17. 允许NIS连接
5 |7 a! {4 V3 y. j9 h. v
5 w8 C) I$ _& |如果你使用NIS管理用户帐户,你需要允许NIS连接。如果你不允许NIS相关的ypbind连接请求,即使SSH连接请求已被允许,用户仍然无法登录。NIS的端口是动态的,先使用命令rpcinfo –p来知道端口号,此例中为853和850端口。
$ A) n+ Z; d7 C/ L( |" K+ V/ W6 }( O: V7 t# Q
rpcinfo-p | grep ypbind \2 c3 a1 [6 H9 S0 y
0 @/ }( n0 {, O4 W# ^; ]例:允许来自111端口以及ypbind使用端口的连接请求
; D7 F! e a! |3 W
5 ]3 n6 F: q" u8 m: C: F$ ciptables -A INPUT -p tcp --dport 111 -j ACCEPT
7 u/ P% q8 `/ y; A! m. R
; [. O" h; J( S6 ^7 ciptables -A INPUT -p udp --dport 111 -j ACCEPT: v) `9 `- x$ T# ?1 G/ v
, S3 O6 a% [# E" J& I+ s6 X# J3 oiptables -A INPUT -p tcp --dport 853 -j ACCEPT- @4 o, |( u, j- c9 p I: @
! O/ P& T6 ~ s% Z4 I; w
iptables -A INPUT -p udp --dport 853 -j ACCEPT
- c2 b4 \3 N! {9 _
% b+ ~ [0 J m6 J Wiptables -A INPUT -p tcp --dport 850 -j ACCEPT C: m& T3 _: V7 `+ |
. Y# o- X+ R$ b, D3 L
iptables -A INPUT -p udp --dport 850 -j ACCEPT
3 `& Q2 ~* H$ M- m* P* f6 m$ H9 Z% i( I
注:当你重启ypbind之后端口将不同,上述命令将无效。有两种解决方案:1)使用你NIS的静态IP 2)编写shell脚本通过“rpcinfo - p”命令自动获取动态端口号,并在上述iptables规则中使用。+ m3 P$ u8 K0 p$ O' w5 ~
* I/ k4 J% G7 e9 h
18. 允许来自指定网络的rsync连接请求
4 q# E0 P% x( j0 r3 G8 m
; B- A. v# U; ^3 ]# G) M例:允许来自网络192.168.101.0/24的rsync连接请求) _: n a$ K$ J! ?! _8 S w
6 Y3 [6 }! n2 W
iptables -A INPUT -i eth 0-p tcp - s192.168. 101.0/ 24--dport 873- mstate-- stateNEW,ESTABLISHED -j ACCEPT
! P0 L$ `1 r/ f1 L% B
* I4 l8 [# R ]$ o3 ^, W$ T4 ^3 Ciptables -A OUTPUT -o eth 0-p tcp --sport 873- mstate-- stateESTABLISHED -j ACCEPT6 C: D) C! A6 P# \1 t+ Y) q8 n
7 ^: Y6 z M1 r$ Z; k9 ?& c5 b% V. c19. 允许来自指定网络的MySQL连接请求
* [7 w2 ?4 n2 i$ ^: D( S
+ I- w( p3 C/ b; m8 [$ M6 a1 P4 O很多情况下,MySQL数据库与web服务跑在同一台服务器上。有时候我们仅希望DBA和开发人员从内部网络(192.168.100.0/24)直接登录数据库,可尝试以下命令:' v- `* M8 J& p' A g
. ^# a* V, h3 w2 S
iptables -A INPUT -i eth 0-p tcp - s192.168. 100.0/ 24--dport 3306- mstate-- stateNEW,ESTABLISHED -j ACCEPT
2 x$ A5 G8 y5 f. n7 ~9 r, b
) d, a& S N4 u8 D! P- _iptables -A OUTPUT -o eth 0-p tcp --sport 3306- mstate-- stateESTABLISHED -j ACCEPT: m7 U* X- h$ L W7 P; S) i6 Q
* Z$ N+ I" v9 W' C& q: E. \
20. 允许Sendmail, Postfix邮件服务
. H8 u9 l4 |& O& h
' {# _( n. n3 w- n! f3 z% QSendmail和postfix都使用了25端口,因此我们只需要允许来自25端口的连接请求即可。
0 m4 S$ d9 K4 b& d' ~5 K" S5 p: T" d) N' _, _: X4 `6 p# [
iptables -A INPUT -i eth 0-p tcp --dport 25- mstate-- stateNEW,ESTABLISHED -j ACCEPT
`6 O" V8 ~. @) b' w3 r* E3 N8 K4 M& q* @' i
iptables -A OUTPUT -o eth 0-p tcp --sport 25- mstate-- stateESTABLISHED -j ACCEPT: T2 Z4 k8 A& \4 e2 g- U
]; X! I y8 \: l) I21. 允许IMAP和IMAPS( `3 W* k( N( V* M
8 t; X7 \/ ~ T3 T& ]6 A
例:允许IMAP/IMAP2流量,端口为143% c) m, B# H( M6 X; m0 |
- E5 \( ~4 G" X) T/ b; V
iptables -A INPUT -i eth 0-p tcp --dport 143- mstate-- stateNEW,ESTABLISHED -j ACCEPT
7 {6 a5 P D! j- n8 x9 ~
/ J! e/ V1 i1 D+ ~# kiptables -A OUTPUT -o eth 0-p tcp --sport 143- mstate-- stateESTABLISHED -j ACCEPT
7 U/ }8 t |- z; M+ M5 }& A$ J
% e/ V6 k8 s, p6 x& K+ S例:允许IMAPS流量,端口为993; L7 j7 i8 Y. ?! a! K& s3 J0 m
7 N0 H% G1 J& @& k
iptables -A INPUT -i eth 0-p tcp --dport 993- mstate-- stateNEW,ESTABLISHED -j ACCEPT9 x8 [4 M5 j' R7 F! R8 r+ u
6 ~' [5 R# Z/ _ liptables -A OUTPUT -o eth 0-p tcp --sport 993- mstate-- stateESTABLISHED -j ACCEPT# B. P( @, u( B. F$ E6 f9 k; U
% v. D) m' Z% v6 l3 i' P22. 允许POP3和POP3S
" k$ r: ~$ S2 |* a l& I
: U8 _! U6 a) ^1 D/ t6 \. G! `例:允许POP3访问' r, m" t/ ~2 N8 Y
% e6 x0 Y/ Z6 H, k9 ]8 G/ a8 S# V$ p+ |5 W
iptables -A INPUT -i eth 0-p tcp --dport 110- mstate-- stateNEW,ESTABLISHED -j ACCEPT# ^/ y! ^1 W8 u( t ^3 v1 c; ]
% c6 I/ z. Y9 k" piptables -A OUTPUT -o eth 0-p tcp --sport 110- mstate-- stateESTABLISHED -j ACCEPT
6 p7 Q0 t, n T) T8 [6 J! b( X. U6 X8 s; P
例:允许POP3S访问( X) _( f' d# }, f
! K2 C% X+ v6 d* R5 r1 w; J5 O: ?) Biptables -A INPUT -i eth 0-p tcp --dport 995- mstate-- stateNEW,ESTABLISHED -j ACCEPT
' |- x Z2 _; W! n: y; W/ u5 j- a
iptables -A OUTPUT -o eth 0-p tcp --sport 995- mstate-- stateESTABLISHED -j ACCEPT% p# k( r- l& G% |! {
( i- ?+ e) Z1 t7 H o. }23. 防止DoS攻击iptables -A INPUT -p tcp --dport 80 -m limit-- limit25/minute -- limit-burst 100 -j ACCEPT
6 @3 W" ~8 D# B* a9 R+ ~5 N ^2 ?" N* D* Z$ b! `$ K$ w
上述例子中:
% b V* e1 S' T" @2 F6 P( ~1 \- X
-m limit: 启用limit扩展% E. x A. V& }0 i q
8 w/ f Y) W; {" F1 ?6 }
–limit 25/minute: 允许最多每分钟25个连接(根据需求更改)。
9 a* r6 n8 k7 w' z5 W4 ?! T/ Z$ h; Q( j1 t8 C" |# ^& o
–limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。
/ B1 U) @- Q0 Q& Q! P- M9 V
" F* H- E3 W! s+ j; n24. 端口转发
+ y5 Q% M; m" P1 ?2 P M例:将来自422端口的流量全部转到22端口。4 o d# K2 L; A C
) s. y3 y# @/ X; |9 ^' o E* r
这意味着我们既能通过422端口又能通过22端口进行ssh连接。启用DNAT转发。
+ ?* P# R7 O: e( p# k5 o; Z- R' y- `2 d R( g# I
iptables-tnat-APREROUTING-ptcp-d192 .168.102.37--dport422 -jDNAT--to192 .168.102.37:22. _9 S9 d+ Q) t' p
4 @1 H: [4 l3 E ]: Q& W% o/ f除此之外,还需要允许连接到422端口的请求
% |# B: m3 h( |, u- J) [* u6 p/ W0 B
iptables -A INPUT -i eth 0-p tcp --dport 422- mstate-- stateNEW,ESTABLISHED -j ACCEPT
7 @) P! p1 z) H' T8 i0 `0 d' Y" w- X- o1 c7 x% o' M9 b
iptables -A OUTPUT -o eth 0-p tcp --sport 422- mstate-- stateESTABLISHED -j ACCEPT& H! y% r/ \( }9 _3 V" Y
m0 O; g9 T! z- |7 r
25. 记录丢弃的数据表
! X8 w- |6 _( @: d Q* b$ G5 l! o( i' h9 i! V( W ~$ { | u* _% ?
第一步:新建名为LOGGING的链
) m" G1 n% ~4 E+ i3 A% o5 V6 h5 {+ u, E7 U; J+ N# v5 c
iptables-N LOGGING
: ~/ u7 V: G, a3 Z* Q
) Y# G& r; ?- w5 ~8 m1 h" g( Z第二步:将所有来自INPUT链中的数据包跳转到LOGGING链中
! ]# b8 ^# H; ~8 a* P- Z/ r
' o% K r k' Y. A" E* j8 Ziptables-A INPUT -j LOGGING `: e- v. ^- ?/ L0 i
% D E9 J* G- d2 i. U. D: q; s
第三步:为这些包自定义个前缀,命名为”IPTables Packet Dropped”
8 A$ X+ q4 z3 X0 ?: z: M1 L: ?% A7 P+ X
iptables -A LOGGING -m limit-- limit2/min -j LOG -- log-prefix "IPTables Packet Dropped: "-- log-level 7, W: _) j5 m/ M/ K1 T" r
" M4 F6 J9 J' j3 e* G0 O- G3 i第四步:丢弃这些数据包' Q+ }# u6 j' m6 C- Z0 {
8 n/ B' _/ K# [. g" z- b- Diptables-A LOGGING -j DROP |
|
发表于 2022-7-3 08:30:06