iptables小小总结
来源:互联网 发布:js 热点 编辑:程序博客网 时间:2024/06/08 11:09
iptables [-t 要操作的表]
<操作命令>
[要操作的链]
[规则号码]
[匹配条件]
[-j 匹配到以后的动作]
操作命令(-A、-I、-D、-R、-P、-F)
-A:新增一条规则,到该规则链列表的最后一行
-I:插入一条规则,原本该位置上的规则会往后顺序移动,没有指定编号则为1
-D:从规则链中删除一条规则,要么输入完整的规则,或者指定规则编号加以删除
-F:清空所有规则
-R:替换某条规则,规则替换不会改变顺序,而且必须指定编号。
-P:设置某条规则链的默认动作
-L: LIST,列出规则
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M)
n:只显示 IP 地址和端口号码,不显示域名和服务名称
要操作的链
chain名:指定规则表的哪个链,如INPUT、OUPUT、FORWARD、PREROUTING等
规则编号
[规则编号]:插入、删除、替换规则时用,--line-numbers显示号码
匹配条件
[-i|o 网卡名称]:i是指定数据包从哪块网卡进入,o是指定数据包从哪块网卡输出
[-p 协议类型]:可以指定规则应用的协议,包含tcp、udp和icmp等
[-s 源IP地址]:源主机的IP地址或子网地址
[--sport 源端口号]:数据包的IP的源端口号
[-d目标IP地址]:目标主机的IP地址或子网地址
[--dport目标端口号]:数据包的IP的目标端口号
-m:extend matches,这个选项用于提供更多的匹配参数,如:
- -m state –state ESTABLISHED,RELATED
- -m tcp –dport 22
- -m multiport –dports 80,8080
- -m icmp –icmp-type 8
匹配到以后的动作
ACCEPT:允许数据包通过
DROP:直接丢弃数据包,不给任何回应信息
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息。
SNAT:源地址转换。在进入路由层面的route之后,出本地的网络栈之前,改写源地址,目标地址不变,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机。解决内网用户用同一个公网地址上网的问题。
MASQUERADE,是SNAT的一种特殊形式,适用于像adsl这种临时会变的ip上
DNAT:目标地址转换。和SNAT相反,IP包经过route之前,重新修改目标地址,源地址不变,在本机建立NAT表项,当数据返回时,根据NAT表将源地址修改为数据发送过来时的目标地址,并发给远程主机。可以隐藏后端服务器的真实地址。(感谢网友提出之前这个地方与SNAT写反了)
REDIRECT:是DNAT的一种特殊形式,将网络包转发到本地host上(不管IP头部指定的目标地址是啥),方便在本机做端口转发。
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则
0 0
- iptables小小总结
- 小小总结
- 小小总结
- 小小总结
- 小小总结
- 小小总结
- 小小总结-----Hibernate总结
- iptables总结
- iptables总结
- iptables 总结
- iptables总结
- 小小的失恋总结
- 小小的总结一下
- 小小的总结.
- 突然想写点,小小总结
- Verilog/FPGA 小小总结
- Java基础小小总结
- 小小总结下
- [JAVA学习笔记-49]线程运行状态机
- CSS——!important
- android:中文转拼音(英文)
- Java中的Volatile关键字详解
- spring的懒加载和非懒加载
- iptables小小总结
- Linux设备驱动四 (3)中断下半部分tasklet
- Hive和Impala加载和存储数据功能曝光
- Netbeans异常之cannet locate java installation in specified jdkhome
- 友盟分享报错_OBJC_CLASS_$_QQApiImageArrayForQZoneObject
- 解决ubuntu14.04下samba共享目录share点开弹出没有权限访问的问题
- 中断技术
- php安装pthreads多线程扩展
- java前端和后端的区别