iptables命令参数
-A 添加规则到规则链表 iptables -A INPUT
-D 从规则链表中删除规则,可是完整规则,也可以是规则编号
-R 取代现行规则,不改变在链中的顺序如:iptables -R INPUT 1 -s 193.168.0.1 -j DROP
-I 插入一条规则 如:iptables -I INPUT 1 --dport 80 -j DROP
-L 列出某规则链中所有规则
-F 删除某规则链中所有规则
-Z 将封包计数器清零
-N 定义新的规则链
-X 删除某个规则链
-P 定义过滤政策
-E 修改自定义规则链名字
常用处理动作(用j参数指定):
ACCEPT:放行。直接跳往下一个规则链;
REJECT:阻拦。处理后不再对比其他规则,直接中断过滤程序并传送消息(ICMP port-unreachable、
ICMP echo-reply tcp-reset)给对方。如: -j REJECT --reject-with tcp-reset
DROP:丢弃包。直接中断过滤程序;
REDIRECT:将包重新导向另一个端口。处理完后继续后续规则比对。如:-j REDIRECT --to-ports 80
MASQUERADE:改写包来源为防火墙NIC IP。可以指定port对应范围,进行完处理后,直接跳往下一个规
则链。如 -j MASQUERADE --to-ports 1024-31000
LOG:将包信息记录在/var/log中,之后继续对比其他规则。 -j LOG --log-prefix "testing"
SNAT:改写封包来源IP为某IP或IP范围。可指定port对应范围。之后跳往下一链表;
DNAT:改写封包目的IP为某IP或IP范围,可指定port对定范围,之后跳往下一链表;
-j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
-j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR:对调包的源和目的地址并返回,之后中断过滤程序;
QUEUE:中断过滤程序。将包放入队列,交给其他程序处理;
RETURN:结束在目前规则链中的过滤程序。返回主规则链继续过滤,若把自定义规则链看成是一个子程序,
那么这个动作就相当于提前结束子程序并返回主程序中;
MARK:将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完处理动作后,将会继续对比其
他规则iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set mark 2
常用封包对比参数:
-p:协议,可以用!运算子,全部用all(后可跟--SYN、ACK、RST、FIN、URG、PSH)
-s -d:源、目的地址;
-i:用来对比包是从哪个网卡进入,可用通配符+,如-i eth+表示所有网卡;
-o:用来表示包从哪片网卡出;
--sport --dport:源和目的端口,可指定范围;
-m(--multiport):指定多个端口;例
iptables -A INPUT -p tcp -m multiport --source-port 22,53,80
iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80
iptables -A INPUT -p tcp -m multiport --port 22,53,80
--icmp-type:跟在ICMP协议后面,如
iptables -A INPUT -p icmp --imcp-type 8
-m limit
--limit:设置某段时间内包的流量,单位如/second,/minute等;
--limit-burst:设置瞬涌入包的数量上限;
-m mac --mac-source:包来源的硬件地址;
-m mark --mark:检查包是否被标记成某个号码,执行mark动作;
-m owner --uid-owner/gid-owner/sid-owner/pid-owner匹配包的所有者;
-m state --state:匹配联机状态,有四种状态INVALID、ESTEBLISHED、NEW、RELATED如ftp的数据
传输连接和控制连接就是一个RELATED关系;
阅读(1717) | 评论(0) | 转发(1) |
