Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10809444
  • 博文数量: 2905
  • 博客积分: 20098
  • 博客等级: 上将
  • 技术积分: 36298
  • 用 户 组: 普通用户
  • 注册时间: 2009-03-23 05:00
文章存档

2012年(1)

2011年(3)

2009年(2901)

分类: LINUX

2009-04-19 01:32:29

对链操作:
  建立一个新的链 ( -N)
  删除一个链 ( -X) 
  改变一个内建(默认)规则链 ( -P)
  列出链中的所有规则 ( -L) 
  清除一个链中的所有规则 ( -F)
对规则的基本操作:
  -A 在链尾加一条规则
  -I 插入规则
  -D 删除规则
  -R 替代一条已存在的规则
  -L 列出所有规则
对链与规则的目标动作:
  ACCEPT 接收该数据报
  DROP 丢弃该数据报
  REJECT 拒绝该数据报
对规则的基本匹配条件:
  -p 指定协议 (tcp / udp/ icmp)
  -s 源地址 (IP Address / mask Len)
  -d 目的地址 (IP Address / mask Len)
  -i 数据报输入接口
  -o 数据报输出接口  
  --sport 源端口协议 (tcp / upd / icmp)
  --dport 目的端口协议 (tcp / upd / icmp)  
 附:
 PREROUTING 用于DNAT 只能选择进入接口 ( -i )
 POSTROUTING用于SNAT 只能选择送出接口 ( -o )  
在使用iptables 前装载 NAT 模块
  modprobe iptable_nat (主要模块)
 modprobe ip_contrack
 modprobe ip_contrack_ftp
 modprobe ip_nat_ftp
基本语法:
 iptables -t table -Operation chain -j target
 例:允许所有IP到本机的SMTP port 的连接
 iptables -t filter -A INPUT -p tcp --dport smtp -j ACCEPT
 删除一个规则:
 iptables -t filter/nat/mangle -D INPUT/OUTPUT/FORWARD/… 1/2/3/…
 删除所有规则:
 iptables -t filter/nat/mangle -F
 删除一个外加的链:
 iptables -t filter/nat/mangle -X (外加的链)
 检查当前链状态:
 iptables -L -t filter/nat/mangle or iptables -L (只对filter有效)
 改变一个链的规则:
 iptables -t filter/nat/mangle -P INPUT/OUTPUT/FORWARD/…
 不允许所有电脑ping my server:
 iptables -A INPUT -p icmp -j DROP
 允许内网ssh连server:
 iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport ssh -j ACCEPT
 阻塞外网对内网server的ssh连接:
 iptables -A INPUT -s ! 192.168.0.0/24 -p tcp --dport ssh -j DROP
 阻塞向外网的的telnet连接
 iptables -A OUTPUT -p tcp --dport telnet -j DROP
 禁止192.168.0.4的IP访问所有www:
 iptables -A FORWARD -s 192.168.0.4 -p tcp --dport www -j REJECT
 禁止某NIC’s Address 不能访问所有的www:
 iptables -A FORWARD -p tcp -m mac -- mac-source -d 0.0.0.0 - --dport www -j DROP
在NAT(-nat)表中加入一条规则,在路由之前(-A PREROUTING) 指向1.2.3.4(-d 1.2.3.4)8080 port (-dport 8080)的tcp包(-p tcp)目标地址 (-j DNAT)被重定向到192.168.0.4的80port(--to 192.168.0.4:80):  
 iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 - - dprot 8080 -j DNAT - - to 192.168.0.4:80  
SNAT的特例为伪装(MASQUERADE)只用于动态分配IP地址的情况(静态IP地址请用SNAT)
伪装所有ppp0送出的东西:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
伪装来源为192.168.0.4的www协议到ppp0送出到202.64.164.247的80端口:
 iptables -t nat -A POSTROUTING -s 192.168.0.4 -p tcp --sport www -o ppp0 -j MASQUERADE --to 202.64.164.247

附内核的编辑:
  /usr/src/kernel’s version/make menuconfig
  /usr/src/kernel’s version/make xconfig
  /usr/src/kernel’s version/make config
  内核配置完后运行:
 make bzImage
 make modules
make modules_install

http://ityijia.blog.51cto.com/713007/143616


附件下载:
  附件:iptables


阅读(1274) | 评论(0) | 转发(0) |
0

上一篇:text info

下一篇:PXE网络安装Linux

给主人留下些什么吧!~~