Chinaunix首页 | 论坛 | 博客

分类: 网络与安全

2014-04-06 12:40:07

原文地址:如何使用iptables(二) 作者:GFree_Wind

翻译:gfree.wind@gmail.com


从这开始真正进行iptables的配置的学习了。

四、目标和跳转

 

           target          Description           Most Common Options
ACCEPT
  • iptables停止进一步处理
  • 这个包的处理完 毕并传给终端程序或者操作系统
N/A
DROP
  • iptables停止进一步处理
  • 这个包被丢弃(阻塞)
N/A
LOG
  • 这个包的信息被发送给 syslogd进行日志记录
  • iptables继续处理,开始判断下一条规则
  • 因为不能同时又记日志又丢弃包,所以 经常需要有两条相似的规则。第一条负责记日志,第二条丢弃包
--log-prefix “string“
告诉iptables所有的日志消息要以用户自定义的字符串开头。经常用于记录包被丢弃的原因。
REJECT
  • 与DROP类似,但是会返回一个错误消息给发送这个被阻塞消息的主机
--reject-with qualifier
这个qualiifier告诉返回哪种拒绝消息,包括
icmp-port-unreachable (default)
icmp-net-unreachable
icmp-host-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
tcp-reset
echo-reply
DNAT
  • 用于目的地址转换DNAT。重写包的目的地址
--to-destination ipaddress
告诉iptable使用哪个目的地址
SNAT
  • 用于源地址转换SNAT,重写包的源地址
  • 源地址由用户定义
--to-source
[-
][:-]
指定SNAT使 用的源地址和端口号
MASQUERADE
  • 用于做源地址转换SNAT
  • 默认情况下源地址与防火墙使用 的网卡地址相同
--to-ports [-]
指定源端口可以被映射的端口范围



阅读(1307) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~