iptables使用介绍

Commands:

–append -A chain 追加一条规则到一个规则链
–check -C chain 检测一条已经存在的规则
–delete -D chain 从chain规则链中删除匹配的规则
–delete -D chain rulenum 从chain规则链中删除规则号为rulenum的规则,第一条规则为1
–insert -I chain [rulenum] 向chain规则链中插入一条规则,如果有rulenum则将该规则插入到对应的规则id处,默认插入到第一位(first=1)
–replace -R chain rulenum 替换chain规则链中规则id为rulenum的规则(1=first)
–list -L [chain [rulenum]] 列出chain规则链中的一个规则或所有的规则或者所有规则链中的所有规则
,可以加规则链的名称或规则id,也可以不加任何参数,不加则列出所有的规则
–list-rules -S [chain [rulenum]] 打印一条规则或所有规则 ,与-L类似
–flush -F [chain] 不加规则链名称表示杉树所有的规则 加股则链名称表示删除对应的链下的所有规则
–zero -Z [chain [rulenum]] 清空所有的规则链上的计数器,或者某个规则链的计数器,或者某个规则的计数器
–new -N chain 创建一个新的用户自定义规则链chain
–delete-chain -X [chain] 删除一个用户自定义的规则链,可以有参数,参数为自定义的规则链名称
–policy -P chain target 在规则链chain上改变到target的策略 改变默认规则
–rename-chain -E old-chain new-chain 重命名规则链名称(moving any references)

Options:

[!] –proto -p proto 协议 通过协议号或者名称 如 “tcp” 支持取反 如
!tcp,表示除tcp外的所有的协议 [!] –source -s address[/mask][…] 源地址 ,支持取反
[!] –destination -d address[/mask][…] 目标地址, 支持取反 [!]
–in-interface -i input name[+] 指定数据包进入的接口,支持取反,INPUT规则中只允许指定-i接口
–jump -j target 命中后的处理方法 有ACCEPT 和 DROP等
–goto -g chain 跳转到规则链chain不返回
–match -m match 扩展匹配 如 -m multiport 表示启用多端口扩展
–numeric -n 地址和端口的数字输出 [!] –out-interface -o output name[+] 指定数据包送出的接口,支持取反,OUTPUT规则链中只允许-o接口
–table -t table 指定表,默认为filter
–verbose -v 详细模式
–line-numbers 列出规则时打印行号
–exact -x 显示精确值 [!] –fragment -f 匹配第二个或更进一步的变量
–modprobe= 尝试使用command命令插入模块 [!] –version -V 打印版本

-j ACTION 说明:
常用的ACTION有:

DROP: 丢掉(丢包)
ACCEPT: 接受
REJECT:表示拒绝
RETURN :返回

iptables的四个表:

filter: 一般的过滤功能
nat :用于nat功能,端口映射,地址映射
mangle: 对特定数据包的修改
raw : 优先级最高,该表只使用在PREROUTING链和OUTPUT链上,使用了raw表在某个链上raw处理完后将跳过nat表 he ip_conntrack处理,可以应用在哪些不需要做nat转换的情况下,以提高性能。

iptables raw表说明:

raw表只使用在PREROUTING 和OUTPUT链上,优先级最高,可以对收到的包在连接跟踪前处理。
raw处理完之后将跳过nat表的处理和ip_conntrack处理,即不在做地址转换和数据包的链接跟踪处理。
可以使用在哪些不需要做nat的情况下,以提高性能,如http的80端口。

iptables的5个链:

PREROUTING: 数据包进入路由表之前
INPUT: 通过路由表后目的地为本机的数据包
FORWARD: 通过路由表后目的地不为本机
OUTPUT: 由本机转发 s
POSTROUTING:发送到网卡接口之前

Linux Iptables命令列表: 用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名 [选项] iptables -[NX] chain 用 -NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名 新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值