11.iptables防火墙设置

常见的两个表即:“filter”与“nat”

iptables 指令语法如下：

iptables[-t table]  command  [match]  [target]

command选项 :

<chain :INPUT  OUTPUT  FORWARD>

-A chain：在chain中增添一条规则

-D chain：在chain中删除一条规则

-I  chain：在指定的位置插入1条规则

-R  chain：替换规则列表中的某条规则

-L [chain]：列出chain中的规则

-F [chain]：清空chain中的规则

-X chain：清除预设表filter中使用者自定链中的规则

-P chain：为chain指定新的默认策略 ACCEPT：未经禁止全部许可 DROP：未经许可全部禁止 iptables命令的可选match部分指定信息包与规则匹配所应具有的特征（如源地址、目的地址、协议等）。

匹配选项:

-s  <ip地址|网段｜域名>：来源地址

-d  <ip地址|网段｜域名>：目标地址

-p  <协议>：指定协议，可以是tcp/udp/icmp --dport  <端口> ：目标端口，需指定

-p --sport  <端口>：来源端口，需指定-p -i ：是指进入的方向的网卡设备

-o：代表出去的方向的网卡设备 目标是由规则指定的操作，对与那些规则相匹配的数据包执行这些操作。

目标选项:

由选项“-j”指定，包括以下目标： REJECT：拒绝 DROP：忽略 ACCEPT：许可

例1：拒绝192.168.0.1主机Ping本机。

iptables  -t   filter   -A   INPUT   –s   192.168.0.1  –p icmp  -j  REJECT

例2：只充许192.168.0.0/24网段的主机可以通过telnet远程登录本机。

iptables   -A   INPUT   –s   ! 192.168.0.0   -p  tcp  --dport   23   -j   REJECT