iptables基础讲解(1)

时间 : 14-06-14 栏目 : linux运维 作者 : 老薛 评论 : 0 点击 : 1,130 次

# create by bdkyr
# date 20110112
# linux运维社区
一、防火墙理论介绍及相关概念解释

见以下文档
Iptables防火墙理论介绍及相关概念解释.doc

二、iptables帮助信息

有问题查帮助!

很全的帮助信息(必须拿下它)
[root@drbd1 ~]# iptables -h
iptables v1.3.5

Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options] #(其中-P等同于 --policy规则)
iptables -h (print this help information)

Commands:
Either long or short options are allowed.
这块请注意:长格式或短格式命令都可用:
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--goto -g chain
jump to chain with no return
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.

四 匹配条件
流入、流出接口(-i、-o)
来源、目的地址(-s、-d)
协议类型 (-p)
来源、目的端口(--sport、--dport)

●匹配协议类型
-p <匹配协议类型>
可以是 TCP、UDP、ICMP 等,也可为空
例:
匹配指定的协议
iptables -A INPUT -p tcp
iptables -A INPUT -p udp

匹配指定协议外的所有协议
iptables -A INPUT -p ! tcp

匹配ICMP端口和ICMP类型
iptables -A INPUT -p icmp --icmp-type 8

 

●匹配数据进入的网络接口
-i <匹配数据进入的网络接口>
-i eth0 匹配是否从网络接口 eth0 进来
-i ppp0 匹配是否从网络接口 ppp0 进来
例:
iptables -t filter -I INPUT -i eth0 -s 10.0.0.101 -j DROP
说明:从eth0接口进入源地址为10.0.0.101的主机禁止

-o 匹配数据流出的网络接口
-o eth0 匹配是否从网络接口 eth0 出去
-o ppp0 匹配是否从网络接口 ppp0 出去
例:
/sbin/iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 10.0.0.125
说明:源地址为10.0.1.0网段,从eth0接口流出,源地址被转换为10.0.0.125

除非注明,文章均为( 老薛 )原创,转载请保留链接: http://www.bdkyr.com/xtyw002/148.html

iptables基础讲解(1):等您坐沙发呢!

发表评论

1 + 1 = ?


博主微信号,很高兴为您提供帮助

随便看看

0