iptables
来源:互联网 发布:java程序设计教程5 编辑:程序博客网 时间:2024/03/29 04:52
1、
-A -append
在所选择的链末添加一条或更多规则。当源(地址)或者/与 目的(地址)转换为多个地址时,这条规则会加到所有可能的地址(组合)后面。
2、
-L -list
显示所选链的所有规则。如果没有选择链,所有链将被显示。也可以和z选项一起使用,这时链会被自动列出和归零。精确输出受其它所给参数影响。
3、
-F -flush
清空所选链。这等于把所有规则一个个的删除。
4、
-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用,如果被引用,在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数,这条命令将试着删除每个非内建的链。
5、
--Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用,在清空前察看计数器,请参见前文。
6、
-P -policy
设置链的目标规则。
7、
ubuntu中启动及关闭iptables
在ubuntu中由于不存在 /etc/init.d/iptales文件,所以无法使用service等命令来启动iptables,需要用modprobe命令。
启动iptables
modprobe ip_tables
关闭iptables(关闭命令要比启动复杂)
iptalbes -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
modprobe -r ip_tables
依次执行以上命令即可关闭iptables,否则在执行modproble -r ip_tables时将会提示
FATAL: Module ip_tables is in use.
8、
iptables三条链
INPUT 外部数据进入主机的关卡
OUTPUT 主机内的数据出去时的关卡
FORWARD 转发,NAT时用到
iptables两种设置
默认允许,拒绝特殊
默认拒绝,允许特殊
iptables默认是“默认允许,拒绝特殊”
可以用一下语句改为“默认拒绝”
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
9、
语法:
iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface]
[-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports]
[-d ip/netword] [--dport ports] [-j ACCEPT DROP]
[-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports]
[-d ip/netword] [--dport ports] [-j ACCEPT DROP]
A 是添加的意思
I 是播入的意思
io 指的是数据要进入或出去所要经过的端口 如eth1 eth0 pppoe等
p 你所要指定的协议
-s 指源地址 可是单个IP如192.168.2.6 也可以是一个网络
192.168.2.0/24 还可以 是一个域名 如163.com 如果你填写的域名系统会
自动解析出他的IP并在iptables里 显示
--sport 来源端口
-d 同-s相似 只不过他指的是目标地址 也可以是IP 域名 和网络
--dport 目标端口
-j 执行参数 ACCEPT DROP
I 是播入的意思
io 指的是数据要进入或出去所要经过的端口 如eth1 eth0 pppoe等
p 你所要指定的协议
-s 指源地址 可是单个IP如192.168.2.6 也可以是一个网络
192.168.2.0/24 还可以 是一个域名 如163.com 如果你填写的域名系统会
自动解析出他的IP并在iptables里 显示
--sport 来源端口
-d 同-s相似 只不过他指的是目标地址 也可以是IP 域名 和网络
--dport 目标端口
-j 执行参数 ACCEPT DROP
例子:
如我要来自己l0接口的数据全部接受,我们可以写成这样:
iptables -A INPUT -i lo -j ACCEPT
如果我们想接受192.168.2.6这个IP地址传来的数据我们可以这样写
iptablse -A INPUT -i eth1 -p tcp -s 192.168.2.6 -j ACCEPT
如果我们要拒绝来自己192.168.2.0/24这个网的telnet连接
iptablse -A INPUT -i eth1 -p udp -s 192.168.2.0/24 --sport 23 -j
DROP
iptables -A INPUT -i lo -j ACCEPT
如果我们想接受192.168.2.6这个IP地址传来的数据我们可以这样写
iptablse -A INPUT -i eth1 -p tcp -s 192.168.2.6 -j ACCEPT
如果我们要拒绝来自己192.168.2.0/24这个网的telnet连接
iptablse -A INPUT -i eth1 -p udp -s 192.168.2.0/24 --sport 23 -j
DROP
总结:
内网数据进入主机INPUT 对应内网网卡,出去OUTPUT对应外网网卡
外网数据进入主机INPUT对应外网网卡,出去OUTPUT对应内网网卡
本文出自 “不学则死” 博客,请务必保留此出处http://chinesefys.blog.51cto.com/3072467/816206
- IPTABLES
- Iptables
- iptables
- iptables
- Iptables
- iptables
- iptables
- iptables
- iptables
- IPTABLES
- iptables
- iptables
- iptables
- iptables
- iptables
- iptables
- iptables
- iptables
- ubuntu10.10 DHCP配置【仅供参考】
- NAT
- 想知道男朋友在哪里?用Mapfia打个电话吧
- iptables表和链
- 错误:为具有端口 "50000" 的服务名称 "db2c_DB2" 而更新系统上的服务文件时出错。
- iptables
- Qt hasfocus()的使用和Qt::Tool
- iptables常用命令、比对、处理动作
- 关于数字版图
- iptables 配置实例
- iptables NAT
- iptables 表与链的关系图
- E-mail 标准 SMTP POP3
- 开机执行命令(永久修改MAC,root权限的命令)