一個(gè)iptables命令基本包含五個(gè)部分:
(1)希望工作在哪張表上;
(2)希望使用該表的哪個(gè)鏈;
(3)進(jìn)行的操作(插入、添加、刪除、修改等) ;
(4)匹配數(shù)據(jù)報(bào)的條件;
(5)對(duì)特定規(guī)則的目標(biāo)動(dòng)作。
例如,希望在filter表中的INPUT鏈中添加一條規(guī)則,允許所有的主機(jī)連接本地SMTP端口的命令為:
[root@RHEL4 ~]#iptables –t filter –A INPUT –p tcp --dport 25 –j ACCEPT
iptables 命令格式為:
iptables [-t 表名] -命令 [鏈名] 匹配條件 目標(biāo)動(dòng)作
注意:iptables命令的所有參數(shù)和選項(xiàng)都區(qū)分大小寫。例如-I代表插入,而-i代表網(wǎng)絡(luò)接口。
1. iptables 命令中的常用操作命令
-P 或--policy <鏈名> 定義默認(rèn)策略。
-L 或--list [鏈名] 查看 iptables 規(guī)則列表,如果不指定鏈,則列出所有鏈中的所有規(guī)則。
-A 或--append <鏈名> 在規(guī)則列表的增加一條規(guī)則。
-I 或--insert <鏈名> 在指定的鏈中插入一條規(guī)則。
-D 或--delete <鏈名> 從規(guī)則列表中刪除一條規(guī)則。
-R 或--replace <鏈名> 替換規(guī)則列表中的某條規(guī)則。
-F 或--flush [鏈名] 清除指定鏈和表中的所有規(guī)則。如果不指定鏈,則所有鏈都被清空。
-Z 或--zero [鏈名] 將表中數(shù)據(jù)包計(jì)數(shù)器和流量計(jì)數(shù)器歸零。
-N 或--new-chain <鏈名> 創(chuàng)建一個(gè)用戶自定義的鏈。
-X 或--delete-chain [鏈名] 刪除鏈。
-C 或--check <鏈名> 檢查給定的包是否與指定鏈的規(guī)則相匹配。
2. iptables 命令中的常見規(guī)則匹配
-i 或--in-interface <網(wǎng)絡(luò)接口> 指定數(shù)據(jù)包從哪個(gè)網(wǎng)絡(luò)接口進(jìn)入,如 eth0,eth1 或 ppp0 等。
-o 或--out-interface <網(wǎng)絡(luò)接口> 指定數(shù)據(jù)包從哪個(gè)網(wǎng)絡(luò)接口輸出,如 eth0,eth1 或 ppp0 等。
-p 或--protocol [!] <協(xié)議類型> 指定數(shù)據(jù)包匹配的協(xié)議,如 tcp、udp 和 icmp 等。!表示除去該協(xié)議之外的其他協(xié)議。
-s 或--source [!] address[/mask] 指定數(shù)據(jù)包匹配的源 IP 地址或子網(wǎng)。 !表示除去該 IP 地址或子網(wǎng)。
-d 或--destination [!] address[/mask] 指定數(shù)據(jù)包匹配的目的 IP 地址或子網(wǎng)。 !表示除去該 IP 地址或子網(wǎng)。
--sport [!] port[:port] 指定匹配的源端口或端口范圍。
--dport [!] port[:port] 指定匹配的目標(biāo)端口或端口范圍
3. 目標(biāo)動(dòng)作選項(xiàng)
目標(biāo)動(dòng)作用于指定數(shù)據(jù)包與規(guī)則匹配時(shí),應(yīng)該做什么操作,如接受、丟棄等。
ACCEPT 接受數(shù)據(jù)包。
DROP 丟棄數(shù)據(jù)包。
REDIRECT 將數(shù)據(jù)包重定向到本機(jī)或另一臺(tái)主機(jī)的某個(gè)端口,通常用于實(shí)現(xiàn)透明代理或?qū)ν忾_放內(nèi)網(wǎng)的某些服務(wù)。
SNAT 源地址轉(zhuǎn)換,即改變數(shù)據(jù)包的源 IP 地址。
DNAT 目標(biāo)地址轉(zhuǎn)換,即改變數(shù)據(jù)包的目的 IP 地址。
MASQUERADE IP 偽裝,即 NAT。MASQUERADE 只用于 ADSL 撥號(hào)上網(wǎng)的 IP 偽裝。如果主機(jī)的 IP 地址靜態(tài)的,則應(yīng)使用 SNAT。
LOG 日志功能。將符合規(guī)則的數(shù)據(jù)包的相關(guān)信息記錄在日志中以便管理員進(jìn)行分析和排錯(cuò)。
網(wǎng)站名稱:教你快速認(rèn)識(shí)iptables命令
URL網(wǎng)址:http://jinyejixie.com/news/105042.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗(yàn)、商城網(wǎng)站、定制網(wǎng)站、企業(yè)網(wǎng)站制作、虛擬主機(jī)、Google
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)