iptables分为四部分
filter:应用过滤规则
nat:应用nat表
mangle:用于修改数据的特点规则
raw:应用于natfilter连接跟踪子系统起作用的规则
其中每个表都有自己的一组内置链
Netfilter提供一个框架,iptables在它之上建立防火墙功能
每个iptables规则都包含一组匹配以及一个目标
iptables匹配:
--source(-s)----匹配源IP地址或网络
--destination(-d)---匹配目标IP地址或网络
--protocol(-p)----匹配IP值
--in-interface(-i)----流入接口(例如eth0)
--out-interface(-o)----流出接口
--state----匹配一组连接状态
--string----匹配应用层数据字节序列
--comment-----在内核内存中位一个规则关联多达256个字节的注释数据
目标:用于在数据包匹配一条规则时触发一个动作。
ACCEPT-------允许接收数据包通过
DROP---------丢弃数据包,不对该数据包做进一步的处理
LOG----------将数据包信息记录到syslog
REJECT-------丢弃数据包,同时发送适当的响应报文
RETURN-------在调用链中继续处理数据包
阅读(172) | 评论(0) | 转发(0) |
