1 规则查看
#iptables [-t tables] [-L] [-nv]
参数说明:
-t tables 指定表,tables 有 filter(默认) ,nat ,mangle 三张表
-L 列出规则
-n 不进行 IP 与 HOSTNAME 的反查,速度将快很多
-v 显示更多信息,包括通过该规则的数据包个数,相关的网络接口等
2 删除规则
#iptables [-t tables] [-FXZ]
参数说明:
-F 清除所有已定义的规则
-X 清除用户自定义的链 chain
-Z 将所有的 chain 的计数与流量统计都归零
3 定义默认策略
#iptables [-t tables] -P [INPUT|OUTPUT|FORWARD] [ACCEPT|DORP]
注:-P 参数大写
4 数据包的基础比对 IP/netmask/ I/O 设备
#iptables [-AI 链] [-io 网络接口] [-p 协议] [-s 来源 IP|网段] [-d 目标 IP|网段]
-j [ACCEPT|DROP]
参数说明:
-A 在原规则的最后增加一条规则
-I 插入规则,默认插入的成为第一条规则
-i 数据包进入的网络接口,如:lo,eth0 等,需与 INPUT 链配合
-o 数据包传出的网络接口,需与 OUTPUT 链配合
-p 协议 设置此规则使用于哪种数据包格式,主要数据包格式有: tcp udp icmp 及 all
-s 来源 IP|网段 设置此规则的数据包来源地
若规范为 “不许 ”时,加上 “! ”即可
-d 目标 IP|网段 设置目的地 IP 或网段
-j 其后接操作,主要操作有:接受 (ACCEPT) 丢弃(DROP)及记录(LOG)
5 TCP,UDP 的规则比对
#iptables [-AI 链] [-io 网络接口] [-p tcp|udp] \
[-s 来源 IP|网段] [--sportt 端口范围] \
[-d 目标 IP|网段] [--dport 端口范围] -j [ACCEPT|DROP]
参数说明:
--sport 端口范围 限制来源的端口号,端口号可为连续的,如 111:222
--dport 端口范围 限制目标的端口号
注:如果要使用 —sport 及--dport 参数,必须指定 tcp 或 udp 数据包格式
6 ICMP 数据包规则的比对
#iptables -A INPUT -i eth0 -p icmp --icmp-type 类型 -j ACCEPT|DROP
参数说明:
--icmp-type 类型 指定 icmp 数据包类型,可使用代号,8 表示 echo request
表示是否接受 ping 的响应
7 状态模块:MAC 与 RELATED
#iptables -A INPUT -m state --state 状态 -j [ACCEPT|DROP]
参数说明:
-m 匹配一些 iptables 的模块,主要常见的有:
state:状态模块
mac:网卡硬件地址
--state 状态 主要状态有:
INVALID:无效的,不合法的数据包
ESTABLISHED:已经联机成功的联机状态
NEW:想要新建立联机的数据包状态
RELATED:数据包与我们已发出的数据包有关,此为最常用
#iptables -A INPUT -m mac --mac-source MAC -j [ACCEPT|DROP]
参数说明:
--mac-source 指定源主机的 MAC
8 规则的保存与恢复
#iptables-save >filename
#iptables-restore
阅读(887) | 评论(0) | 转发(0) |
