Chinaunix首页 | 论坛 | 博客
  • 博客访问: 8106280
  • 博文数量: 159
  • 博客积分: 10424
  • 博客等级: 少将
  • 技术积分: 14615
  • 用 户 组: 普通用户
  • 注册时间: 2010-07-14 12:45
个人简介

啦啦啦~~~

文章分类
文章存档

2015年(5)

2014年(1)

2013年(5)

2012年(10)

2011年(116)

2010年(22)

分类: 网络与安全

2010-07-18 02:34:57

翻译:gfree.wind@gmail.com


从这开始真正进行iptables的配置的学习了。

四、目标和跳转

 

           target          Description           Most Common Options
ACCEPT
  • iptables停止进一步处理
  • 这个包的处理完 毕并传给终端程序或者操作系统
N/A
DROP
  • iptables停止进一步处理
  • 这个包被丢弃(阻塞)
N/A
LOG
  • 这个包的信息被发送给 syslogd进行日志记录
  • iptables继续处理,开始判断下一条规则
  • 因为不能同时又记日志又丢弃包,所以 经常需要有两条相似的规则。第一条负责记日志,第二条丢弃包
--log-prefix “string“
告诉iptables所有的日志消息要以用户自定义的字符串开头。经常用于记录包被丢弃的原因。
REJECT
  • 与DROP类似,但是会返回一个错误消息给发送这个被阻塞消息的主机
--reject-with qualifier
这个qualiifier告诉返回哪种拒绝消息,包括
icmp-port-unreachable (default)
icmp-net-unreachable
icmp-host-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
tcp-reset
echo-reply
DNAT
  • 用于目的地址转换DNAT。重写包的目的地址
--to-destination ipaddress
告诉iptable使用哪个目的地址
SNAT
  • 用于源地址转换SNAT,重写包的源地址
  • 源地址由用户定义
--to-source
[-
][:-]
指定SNAT使 用的源地址和端口号
MASQUERADE
  • 用于做源地址转换SNAT
  • 默认情况下源地址与防火墙使用 的网卡地址相同
--to-ports [-]
指定源端口可以被映射的端口范围



阅读(3760) | 评论(0) | 转发(4) |
给主人留下些什么吧!~~