iptable中文学习文档 三

最新推荐文章于 2021-05-26 21:03:42 发布
转载 最新推荐文章于 2021-05-26 21:03:42 发布 · 814 阅读 · 0
文章标签:

#文档 #diagnostics #tcp #output #input #linux内核

摘自:linux宝库 (http://www.linuxmine.com)

 

 

unclean

此模块没有可选项,不过它试着匹配那些奇怪的、不常见的包。处在实验中。

 

tos

此模块匹配IP包首部的8位tos(服务类型)字段(也就是说,包含在优先位中)。

 

--tos tos

这个参数可以是一个标准名称,(用iptables -m tos -h 察看该列表),或者数值。

 

TARGET EXTENSIONS

iptables可以使用扩展目标模块:以下都包含在标准版中。

 

LOG

为匹配的包开启内核记录。当在规则中设置了这一选项后,linux内核会通过printk()打印一些关于全部匹配包的信息(诸如IP包头字段等)。

--log-level level

记录级别(数字或参看 syslog.conf(5))。

--log-prefix prefix

在纪录信息前加上特定的前缀:最多14个字母长,用来和记录中其他信息区别。

 

--log-tcp-sequence

记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

 

--log-tcp-options

记录来自TCP包头部的选项。

--log-ip-options

记录来自IP包头部的选项。

 

MARK

用来设置包的netfilter标记值。只适用于mangle表。

 

--set-mark mark

 

REJECT

作为对匹配的包的响应,返回一个错误的包:其他情况下和DROP相同。

 

此目标只适用于INPUT、FORWARD和OUTPUT链,和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性:

 

--reject-with type

Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port- nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited,该类型会返回相应的ICMP错误信息(默认是port-unreachable)。选项 echo-reply也是允许的;它只能用于指定ICMP ping包的规则中,生成ping的回应。最后,选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则,只匹配TCP协议:将回应一个TCP RST包。

TOS

用来设置IP包的首部八位tos。只能用于mangle表。

 

--set-tos tos

你可以使用一个数值型的TOS 值,或者用iptables -j TOS -h 来查看有效TOS名列表。

MIRROR

这是一个试验示范目标,可用于转换IP首部字段中的源地址和目标地址,再传送该包,并只适用于INPUT、FORWARD和OUTPUT链,以及只调用它们的用户自定义链。

 

SNAT

这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址(此连接以后所有的包都会被影响),停止对规则的检查,它包含选项:

 

--to-source <ipaddr>[-<ipaddr>][:port-port]

可以指定一个单一的新的IP地址,一个IP地址范围,也可以附加一个端口范围(只能在指定-p tcp 或者-p udp的规则里)。如果未指定端口范围,源端口中512以下的(端口)会被安置为其他的512以下的端口;512到1024之间的端口会被安置为1024 以下的,其他端口会被安置为1024或以上。如果可能,端口不会被修改。

 

--to-destiontion <ipaddr>[-<ipaddr>][:port-port]

可以指定一个单一的新的IP地址,一个IP地址范围,也可以附加一个端口范围(只能在指定-p tcp 或者-p udp的规则里)。如果未指定端口范围,目标端口不会被修改。

 

MASQUERADE

只用于nat表的POSTROUTING链。只能用于动态获取IP(拨号)连接:如果你拥有静态IP地址,你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像,当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址(以后所有建立的连接都将关闭)。它有一个选项:

 

--to-ports <port>[-port>]

指定使用的源端口范围,覆盖默认的SNAT源地址选择(见上面)。这个选项只适用于指定了-p tcp或者-p udp的规则。

 

REDIRECT

只适用于nat表的PREROUTING和OUTPUT链,和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身(本地生成的包被安置为地址127.0.0.1)。它包含一个选项:

 

--to-ports <port>[<port>]

指定使用的目的端口或端口范围:不指定的话,目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。

 

DIAGNOSTICS

诊断

不同的错误信息会打印成标准错误:退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2,其他错误返回代码为1。

 

BUGS

臭虫

Check is not implemented (yet).

检查还未完成。

 

COMPATIBILITY WITH IPCHAINS

与ipchains的兼容性

iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个;以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口;-o引用输出接口,两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时,iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆,所以以下选项作了不同的处理:

-j MASQ

-M -S

-M -L

在iptables中有几个不同的链。

 

SEE ALSO

参见

iptables-HOWTO有详细的iptables用法,对netfilter-hacking-HOWTO也有详细的本质说明。

 

lonely_wollf
关注
2021最稳C/C++学习路线
编程与实战的博客
08-20 9541
大家好,我是唐唐。此篇文章关于 C/C++/Linux后端开发的全路线。前言于我而言,最开始学习就是 C++,除了计算机专业,其他专业可能学习的第一门编程语言为 C 语言,还是谭浩强爷爷那...
万字长文带来2021最稳C/C++学习路线
L的存在的博客
08-22 1749
大家好,我是蓝蓝。 封面自己画的,应该还算比较可爱的吧,复古类型的可爱啦。为什么是森林呢,嗯~~周末看了书《挪威的森林》,其中有句话是 如果你掉进了黑暗里,你能做的,不过是静心等待,直到你的双眼适应黑暗。此篇文章关于 C/C++/Linux后端开发的全路线。 文章已开源到 我的Github,欢迎Star。 前言 于我而言,最开始学习就是 C++,除了计算机专业,其他专业可能学习的第一门编程语言为 C 语言,还是谭浩强爷爷那本,当时想着有点 C 基础,无外乎就是 C 语言的升级版,于是开启了 C+
iptable中文学习文档
狼图腾
09-22 793
摘自:linux宝库 (http://www.linuxmine.com)  用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改 iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定 iptables -D chain rule num
iptable中文学习文档
HexBug
09-12 1820
iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用iptables
Iptables中文手册
软体疯子专栏
09-27 835
NAMEiptables - IP包过滤器管理总览iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改]iptables - RIiptables -D chain rule num[option]iptables -LFZ 链名 [选项]iptables -[NX] 指定链iptables -P chain target[o
iptables--表/命令/选项/匹配/目标
香蕉一号
07-04 2893
iptables--规则1.基本语法2.表3.命令4.选项5.匹配5.1 通用匹配5.2 隐含匹配5.2.1 TCP匹配5.2.2 UDP匹配5.2.3 ICMP匹配5.3 显式匹配5.3.1 Limit匹配 1.基本语法 基本语法如下: iptables [-t table ] command [match] [target/jump] 对于这个句法没什么可说的,但注意 target 指令必须在最后。为了易读,我们一般用这种语法。总之,你将见到的大部分规则都是按这种语法写的。在[table]处指定表名。
iptables常用命令、比对、处理动作
vestinfo的专栏
09-03 1278
常用指令: 命令 -A, --append范例 iptables -A INPUT ...说明 新增规则到某个规则链中,该规则将会成为规则链中的最后一条规则。命令 -D, --delete范例 iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1说明 从某个规则链中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。命令 -R,
【进大厂必学】3W字180张图学习Linux基础总结
L的存在的博客
05-26 4936
就不多说这段时间干啥去了吧,期间和很多的同学聊了天,有的童鞋已经开始工作,聊了聊工作上的事儿。有的是今年即将毕业的童鞋,有着自己的小目标,有的想尝试互联网,所以现在基本上都快进行二轮的复习了,有的同学备战公务员,凭着年轻这股劲儿向往自己理想的生活状态,无论怎么样,长路漫漫,走一步,算一步,每一步都算数。 今天分享的这篇文章是 Linux 相关的基础知识,深一点的内容基本上没有,不过对于刚需小伙伴来说,也就够了,有时间的话,最好按照这些命令去试一试,敲一敲,这样记忆更加深刻。 老规矩,先看目录,文章比较长,建
Linux高级路由与流量控制实战指南(中文版)
文档首先介绍了翻译者序,强调翻译过程不仅是作者自我学习的过程,也让作者意识到Linux在网络功能上的强大和自己之前的忽视。作者提到,虽然原作还未完全完成,基于Linux 2.6版内核,但文档已经提供了丰富的信息,...
Aix命令行中文解释
05-18
在IBM AIX操作系统中,命令行界面是进行系统管理和任务执行的主要工具。AIX命令行提供了丰富的命令集合,用于管理文件、目录、进程、...在学习过程中,参考《命令参考大全》这样的文档将非常有助于理解和应用这些命令。
iptables策略详解
qk的专栏
03-18 1024
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
linux限制ip访问工具,Linux下通过iptables配置工具限制ip访问服务器
weixin_30871695的博客
05-09 951
参数 -m owner --uid-owner范例 iptables -A OUTPUT -m owner --uid-owner 500说明用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。参数 -m owner --gid-owner范例 iptables -A O...
iptables 指令详解
刘松华-林散
05-15 2866
iptables 指令 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。 个规则表的功能如下: nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进
iptables
py_cream的博客
07-03 813
iptables 简介 防火墙,其目的是实现Linux系统访问控制能力,分为软件防火墙(寄生于操作系统)与硬件防火墙(具有独立芯片,软硬件结合实现);常见的有3/4层网络防火墙以及7层代理防火墙,iptables所处的位置便是位于tcp/ip网络层,是典型的包过滤防火墙,亦属于软件防火墙. iptables与netfilter iptables Iptables为管理工具,位于/sbin/...
iptables的内核配置
阿Sir问道
05-26 3310
CONFIG_PACKET - 允许程序直接访问网络设备(译者注:最常用的就是网卡了),象tcpdump 和 snort就要使用这个功能。 严格地说,iptables并不需要CONFIG_PACKET,但是它有很多用处(译者注:其他程序需要),所以就选上了。当然,你不想要,不选就是了。(译者注:建议还是选的为好) CONFIG_NETFILTER - 允许计算机作为网关或防火墙。这个是必需的,因为整篇文章都要用到这个功能。我想你也需要这个,谁叫你学iptables呢:) 当然,你要给网络设备安装正确的
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
Linux中防火墙Iptables】【指令详解】【中文
依然的专栏
05-24 2139
iptables 指令 语法:iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下:nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进
Iptables小结
EdisonChang的博客
08-30 1982
转载请标明出处:http://blog.youkuaiyun.com/EdisonChang/article/details/52372701这篇文章是对近期学习Iptables的一些小结,博文参考到一些网络上的资料,包括一些名称定义都是在各类文章中摘抄的,先推荐几篇文章。iptables规则配置 增加、删除和修改命令 iptables详解 Linux防火墙iptables学习笔记(一)入门要领 L
iptable
最新发布
03-21
<think>嗯,用户想了解iptables的使用指南和配置示例。首先,我需要确定用户对iptables的了解程度。可能他们刚开始接触Linux防火墙,或者需要复习一些基本操作。根据提供的引用内容,我需要整合这些信息,确保回答准确且符合格式要求。 首先,系统级指令要求所有数学表达式用$...$,不过这里可能用不上,但要注意其他格式,比如代码块用反引号。然后,用户要求生成相关问题,放在最后。回答结构要清晰,分步骤说明,并且引用对应的引用标记。 用户提供的引用有关于保存规则、添加规则的命令、基本概念、firewalld的注意事项等。需要将这些信息组织成逻辑连贯的内容。可能需要分成几个部分,比如基本概念、常用命令、配置示例、注意事项等。 需要检查引用是否正确对应,比如引用[^1]对应保存规则,引用[^2]对应添加规则的命令,引用[^5]提到firewalld的替换。在回答中引用这些内容时,要自然地在相关段落末尾添加标识。 另外,用户可能对iptables和firewalld的关系有疑问,所以要在注意事项中提到CentOS 7以上版本使用firewalld,避免混淆。配置示例部分可以包括开放端口、禁止IP、NAT转发等常见场景,每个示例给出代码块,并说明用途。 最后,生成的相关问题要围绕用户可能进一步想了解的内容,比如表和链的作用、迁移到firewalld、调试技巧、规则顺序影响等。确保问题有针对性,帮助用户深入学习。 需要确保语言简洁,步骤清晰,避免技术术语过多,同时保持专业性。检查LaTeX语法是否正确,虽然这里可能用不上数学公式,但代码块和引用格式要正确。确认所有引用标记正确对应,没有遗漏或错误。</think>### iptables 使用指南及配置示例 #### 一、基本概念 iptables 是 Linux 系统中管理网络流量规则的核心工具,通过定义**表**(Tables)、**链**(Chains)和**规则**(Rules)来实现防火墙功能。主要表包括: - **filter 表**:默认表,用于数据包过滤 - **nat 表**:网络地址转换 - **mangle 表**:修改数据包头部信息 网络流量会依次经过不同链的处理流程,例如输入链(`INPUT`)、转发链(`FORWARD`)和输出链(`OUTPUT`)[^3][^4]。 --- #### 二、常用命令格式 1. **添加规则** ```bash sudo iptables -A <链名> -p <协议> --dport <端口> -j <动作> ``` 示例:允许 SSH 连接 ```bash sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. **查看规则** ```bash sudo iptables -L -n -v # 显示详细规则列表 ``` 3. **删除规则** ```bash sudo iptables -D <链名> <规则编号> # 按编号删除 sudo iptables -F # 清空所有规则 ``` --- #### 、配置示例 **场景 1:开放 Web 服务端口** ```bash sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS ``` **场景 2:禁止特定 IP 访问** ```bash sudo iptables -A INPUT -s 192.168.1.100 -j DROP ``` **场景 3:配置 NAT 转发** ```bash sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 共享上网 ``` --- #### 四、规则持久化 临时规则重启后会丢失,需保存至配置文件: ```bash sudo iptables-save > /etc/iptables/rules.v4 # IPv4规则保存[^1] ``` --- #### 五、注意事项 1. 操作前建议备份现有规则 2. CentOS 7+/RHEL 7+ 默认使用 `firewalld`,如需切换回 iptables: ```bash systemctl stop firewalld systemctl mask firewalld yum install iptables-services ``` [^5] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值