Chinaunix首页 | 论坛 | 博客

huanfeng

首页 |  博文目录 |  关于我

jiang870320

  • 博客访问: 47414
  • 博文数量: 9
  • 博客积分: 1433
  • 博客等级: 上尉
  • 技术积分: 112
  • 用 户 组: 普通用户
  • 注册时间: 2009-04-12 23:41
文章分类

全部博文(9)

文章存档

2011年(1)

2009年(8)

我的朋友
最近访客
推荐博文
相关博文
iptables 防火墙配置

分类: LINUX

2009-04-14 21:20:53


                NAT TABLEPREROUTINGPOSTROUTINGOUTPUT

iptables的组成  MANGLE TABLE: PREROUTINGPOSTROUTINGOUTPUT INPUTFORWARD

                     FILTER TABLEINPUTOUTPUTFORWARD




iptables常用命令:


A iptables -A INPUT ...


-D iptables -D INPUT –dport 80 -j DROP

iptables -D INPUT 1

-R (--replace):iptables -R INPUT 1 -s 192.168.1.88 -j DROP

(#取代现行规则,规则取代后并不会改变顺序)


I,--insertiptables -I INPUT 1 –dport 80 -j ACCEPT


-L,--list :iptables -L INPUT (#列出某规则链中的所有规则)


F,--flush:iptables -F INPUT


-Z,--zero :iptables -Z INPUT


-N,--new chain :iptables -N xiaowei


-X,--delete chain:iptables -X xiaowei


-P,--policy :iptables -P INPUT DROP (#定义过滤政策,也就是未符合过滤条件的封包,预设的处理方式)


E,--rename chain :iptables -E xiaowei huanfeng (#修改某自定规则链的名字)




常用的封包参数



参数:

p,--protocol:iptables -A INPUT -s 192.168.1.1 -p tcp 80 -j ACCEPT


-s,--src


-d,--dst:iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT


-i,--in-interface:iptables -A INPUT -s 220.181.6.19 -i eth0 -j DROP


-o,--out-interface:iptables -A OUTPUT -d 192.168.1.1 -o eth0 -j ACCEPT


--sport,--source port:iptables -A INPUT -p tcp –sport 22


--dport,--destination port:iptables -A INPUT -p tcp --dport 80


--multiport:iptables -A INPUT -p tcp -m multiport –dport 22,53,80,110


--tcp-flags:iptables -p tcp –tcp-flag SYN,FIN,ACK,ACK SYN


-syn:iptables -p tcp -syn


--icmp-type:iptables -A INPUT -p icmp –icmp-type 8

(#对比ICMP的类型编号,可以使用代码或数字编号来进行对比)


-m limit --limit

(很重要)

iptables -A INPUT -p icmp -m limit –limit 12/minute -j REJECT


--limit-burst

iptables -A INPUT -p icmp -m limit –limit-burst 5


-m mac –mac-source

iptables -A INPUT -m mac –mac-source 00:22:3f:25:8f:46 -j DROP

(#用来对比封包来源网络接口的硬件地址,这个参数不用在OUTPUTPOSTROUTING规则链上)


-mark :iptables -t mangle -A INPUT -m mark –mark 1


-m owner –uid-owner

iptables -A OUTPUT -m owner –gid-owner 0


-m owner –pid-owner

iptables -A OUTPUT -m owner –pid-owner 78


-m owner –sid-owner

iptables -A OUTPUT -m owner –sid-owner 100


-m state –state

iptables -A INPUT -m state –state RELATED,ESTABLISHED(NEW,INVALID)

INVALID:表示该封包的联机编号无法辨别或编号不正确

ESTABLISHED:表示该封包属于某个已经建立的联机

NEW:表示该封包想要起始一个联机

RELATED:表示该封包是属于某个已经建立的联机,所建立的新联机


-j 用来指定要进行的处理动作,常用的处理动作包括:ACCRPTREJECTDROPREDIRECTMASQUERADELOGDNATSNATMIRRORQUEUERETURNMARK


阅读(1964) | 评论(0) | 转发(0) |
0

上一篇:vfat ext2 ext3 ext4 reiserfs 文件系统

下一篇:管道和有名管道

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6