Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1366661
  • 博文数量: 243
  • 博客积分: 888
  • 博客等级: 准尉
  • 技术积分: 2955
  • 用 户 组: 普通用户
  • 注册时间: 2012-12-05 14:33
个人简介

漫漫长路,其修远兮!

文章分类

全部博文(243)

文章存档

2017年(2)

2016年(22)

2015年(32)

2014年(57)

2013年(107)

2012年(23)

分类: LINUX

2012-12-19 16:33:10

iptables [-t table] command chains (NUM) match condition -j action
iptables [-t table] command [match] [target]
概念
iptables 由表(tables),链(chains),规则(rules)组成
默认iptables内置了四个表(tables):filter表 nat表 mangle表和raw表
五个链:INPUT ,OUTPUT ,PREROUTING ,POSTROUTING ,FORWARD
filter表:INPUT ,OUTPUT ,FORWARD          ---一般用于信息表过滤
nat表:PREROUTING ,POSTROUTING, OUTPUT    ---用于要转发的信息包
mangle表:ALL(跟路由无关,在任何点都行,ye最高) ----包含一些规则来标记用于高级路由的信息包
 
命令选型
--append  -A append 在规则表的最后追加一条规则
--insert  -I [n] 插到第n条规则之前
--replade -R  n replace 第n条新规则
--delete  -D n delete第n条规则
--flush   -F 清空表中所有规则
--policy  -P ACCEPT|DROP 默认策略动作
--new-chain -N z自定义新链
--rename-chain -E 重命名用户自定义的链
--zero -Z 清零计数器
1.所有被本规则匹配到的数据包的个数
2. 所有被本规则匹配到的数据包的数据之和
--list -L list链中的所有规则 默认保存在/etc/sysconfig/iptables
-x 显示-Z选项中的数据时,不作单位换算,显示精确值
-n 不作名称解析,以数字的格式显示ip
-v | -vv |-vvv|-vvvv | 显示详细的信息
--line-numbers 显示行号
-S 同-L ,print出来
filter是最常用的表,在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。DROP会丢弃数据包,不再对其进行任何处理。REJECT会把出错信息传送至发送数据包的主机
匹配选型
A.通用匹配
--proto -p protocol协议类型
--source -s src-address数据包匹配的源地址
--destination -d dst-address数据包匹配到目标地址
--in-terface -i in_interface数据入口
--out-interface -o out-interface数据出口
B.扩展匹配
扩展又分为隐含扩展和显式扩展
隐含匹配 显式扩展
tcp --source-port -m tcp
--dport -m state --state NEW|ESTABLISHED|RELATED| INVALID
--sport -m limit --limit n/days |minute
--limit-burst N 峰值
--type-flags -m string --string
--syn -m mac --mac—source
-m multiport --source-ports
--destination-ports
--tcp-flags mask comp
Udp --sport
--dport
Icmp --icmp-types
8 echorequest
0 echo-reply
3 destination unreachable
动作
-j DROP 丢弃数据包(“悄悄地“)
REJECT 丢弃数据包(明确的)
ACCEPT 接收数据包
SNAT 源端口转换
DNAT 目的端口转换
LOG 记录日志
REDIRECT 端口转换
MASQUERADE 端口伪装(动态获取网关时用,耗系统资源)
例子
1.iptables -F     #清空表中所有规则
  iptables -X     #清除所有自定义规则
  iptables -Z     #各项计数归零
2.iptables -t nat -F    清除旧规则
3.iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD DROP
4.iptables -L -n  查看已有的规则
5.iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP
  本例中的规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动
  iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP
  阻止所有流向攻击者IP地址的数据包
6.iptables -A INPUT -p tcp --dport 52814 -j ACCEPT
7.iptables -A INPUT -s 172.16.100.0 /24  -j ACCEPT
8.iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP
  --syn则表示带有syn标识设置的TCP数据包
9.
10.iptables-save > iptables-script    ----把策略保存到文件
   iptables-restore iptables-script   ----恢复策略
   service iptables restart
11.iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  
12.iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 
------让所有流出的信息看起来都是来自防火墙机器的,而并不会显示出防火墙后面还有一个局域网
 
 
DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映谢
 
未完待续、、、、
阅读(1496) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~