客服中心
业务咨询
技术支持
在线客服
iptables的语法及其使用
添加时间:2010-11-13
添加:
admin
通过使用iptables命令建立过滤规则,并将这些规则添加到内核空间过滤表内的链中。
添加、删除和修改规则的命令语法如下:
格式:#iptables [-t table] command [match][target]
说明:
1、table
[ -t table)有三种可用的表选项:filter、nat和mansle。该选项不是必需的,如未指定,则filter作为默认表。
filter表用于一般的数据包过滤,包含INPUT、OUTPUT和 FORWARD链。
nat表用于要转发的数据包,包含PREROUTING、OUTPUT和 POSTROUTING链。
manglc表用于数据包及其头部的更改,包含PREROUTING和 OUTPUT链。
2.command
command是iptables命令中最重要的部分,它告诉itables命令要进行的操作,如插入规则、删除规则、将规则添加到链尾等。中tables常用的一些操作命令见下表。
表 iptables常用的操作命令
|
操作命令 |
功 能 |
| -A或-append | 该命令将一条规则附加到链的末尾 |
| -D或-delete | 通过用-D指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除该规则 |
| -P或-policy | 该命令设置链的默认目标,即策略。所有与链中任何规则都不匹配的数据包都将被强制使用此链的策略 |
| -N或-new-chain | 用命令中所指定的名称创建一个新链 |
| -F或-flush | 如果指定链名,该命令删除链中的所有规则,如果未指定链名,该命令删除所有链中的所有规则。此参数用于快速清除 |
| -L或-list | 列出指定链中的所有规则 |
示例:
#iptables -A INPUT -s 192.168.0.10 -j ACCEPT
该命令将一条规则附加到INPUT链的末尾,确定来自源地址192.168.0.10的数据包可以ACCEPT。
#iptables -D INPUT -dport 80 -j DROP
该命令从INPUT链删除规则。
#iptables -P INPUT DROP
该命令将INPUT链的默认目标指定为DROP。这将丢弃所有与INPUT链中任何规则都不匹配的数据包。
3.match
mateh部分指定数据包与规则匹配所应具有的特征,比如源IP地址、目的IP 地址、协议等。lptables常用的规则匹配器见下表。
表 iptables常用的规则匹配器
|
参 数 |
功 能 |
| -p或--protocol | 该通用协议匹配用于检查某些特定协议。协议示例有TCP、UDP、ICMP及用逗号分隔的任何这三种协议的组合列表以及ALL(用于所有协议)。AILL是默认匹配,可以使用!符号,表示不与该项匹配 |
| -s或--souece | 该源匹配用于根据数据包的源IP地址来与它们匹配。该匹配还允许对某一范围内的IP地址进行匹配,可以使用!符号,表示不与该项匹配。默认源匹配与所有IP地址匹配 |
| -d或--destination | 该目的地匹配用于根据数据包的目的地IP地址来与它们匹配。该匹配还允许对某一范围内IP地址进行匹配,可以使用!符号,表示不与该项匹配 |
示例:
#iptables-A INPUT -p TCP,UDP
#iptables-A INPUT-p!ICMP
#iptables-A OUTPUT-s 192.168.0.10
#iptables-A OUTPUT-s 1 210.43.1.100
#iptables-A INPUT-d 192.168.1.1
#iptables-A OUTPUT-d 1 210.43.1.100
4.target
目标是由规则指定的操作,lptaLles 常用的一些目标和功能说
明见下表。
表 iptables常用的目标和功能
新文章:
版权所有:佛山思海电脑网络有限公司 ©1998-2024 All Rights Reserved.
联系电话:(0757)22630313、22633833 中华人民共和国增值电信业务经营许可证: 粤B1.B2-20030321 备案号:粤B2-20030321-1 网站公安备案编号:44060602000007 交互式栏目专项备案编号:200303DD003      
|