iptables的中文手册
- {日}链规则iptables规则规范{选项} NUM
iptables里是规则中指定的顺序
iptables - D链规则Num {选项}
删除指定规则
规则
iptables的中文手册,使用iptables - ADC指定链的规则-添加-删除- D C改性
- {日}链规则iptables规则规范{选项} NUM
iptables里是规则中指定的顺序
iptables - D链规则Num {选项}
删除指定规则
- { } { iptables隆福正链} {选项}
使用层流区链名称{选项iptables - }
iptables - { NX }链
使用NX指定一个链
iptables -P链目标{选项}
指定链的默认目标
iptables -旧链链的名字命名新
e旧链名新链名
用新的链名替换旧链名
解释
iptalbes是IP包过滤规则用于设置、维护和检查Linux内核。
不同的表可以被定义,各包含若干内链也是一个用户定义的链,每个链是一系列规则匹配相应的包装:每个规则指定如何处理一个包匹配它。这就是所谓的';targetrsquo;(目标),也可以同一个表在跳转到用户定义的链。
目标
防火墙规则指定检查包和目标的特征。如果数据包不匹配,则链将被发送到下一个规则检查;如果匹配,则由目标值确定的下一条规则。目标值可以是用户定义的链,也可以是特殊值,比如接受{ { { } },删除,或返回到返回{队列,}。
接受指示包是passed.drop表明这包discarded.queue指示包传递给用户space.return表明链匹配的停止,和规则的前链开始。包的命运将由链准则指定的目标确定,如果它达到了链(链的末端),或者如果内链规则返回。
桌子
目前有三个表(它们是当前表,取决于内核配置选项和当前模块)。
T台
此选项指定要由命令驱动的匹配包桌。如果内核被配置为自动加载模块,如果模块不是装的(系统)将尝试加载适当的模块(如表)。这些表如下:过滤器,这是默认的表,其中包含内置链输入(处理传入的包),提出(处理包)和输出(处理本地生成的包)。NAT,当此表进行查询,结果表明,产生新的连接的包由三建链:PREROUTING(修改传入的包),输出(路由之前修改本地包),和POSTROUTING(修改包准备出去)。mangle表是我们要修改指定的包。它有两个内置的规则:PREROUTING(包进入前的路由)和输出(路线的修改在当地包)。
选项
这些选项可以通过iptables识别可以区分不同类型。
命令
这些选项指定了明确操作的实现:如果指令行中没有其他规则,则该行只能指定一个选项。长格式的命令和选项的名称,信的长度如果iptables允许区分指示从其他选项保证。
-附加
在所选链的结尾添加一个或多个规则。当源(地址)、和/或目标(地址)转换为多个地址时,此规则将被添加到所有可能的地址(组合)中。
-删除
从选定的链中删除一个或多个规则。这个命令可以有两种方法将删除的规则指定为链中的序列号(第一个序列号为1),或指定为匹配规则。
- r -替换
从选定的链中替换规则。如果源(地址)、和以及目标(地址)转换成多个地址,则命令将失败。规则号从1开始。
-插入
根据给定的规则号将一个或多个规则插入到选定的链中。因此,如果规则号为1,则规则插入链头。这也是规则编号未指定时的默认模式。
- L列表
显示所选链的所有规则。如果没有选择链,所有的链将被显示。当链被自动列出并返回到0时,它也可以与z选项一起使用。精确的输出受其他参数的影响。
- F -同花顺
清空所选的链,这是一条接一条地删除所有规则。
——零
清除链的所有包和字节的计数器。它可以与L一起使用,在排空前检查计数器,请参阅前面的文章。
n -新链
一个新的用户定义链是根据给定的名称建立的,这必须确保没有同名的链存在。
-删除链
删除指定的用户定义链。该链不能被引用,如果引用它,必须删除它之前的规则或替换它。如果不提供参数,该命令将尝试删除每个未构建的链。
- P -策略
设置链的目标规则。
- e重命名链
根据用户指定的名称重命名指定的链,它只是一个修饰符,对整个表的结构没有影响。目标参数给出了一个合法的目标。只有非用户定义的链可以使用规则,而构建的和用户定义的链不能成为规则的目标。
- H帮助。
帮助u3002gives非常简要介绍当前命令语法。
参数
参数
下面详细描述了下列参数,如添加、删除、替换、追加和检查命令。
P协议{!} }协议
一个规则或包检查协议(进行检查)。指定的协议可以是一个或所有的TCP,UDP,ICMP,或价值,代表这些协议。当然,你也可以使用在/ etc /定义的协议的名称protocols.add !在协议名称之前的相反规则。数字0等于所有的所有。协议都匹配所有协议,这是默认选项。当与检查命令组合使用时,所有不能使用。
-源代码{地址{掩码} }!
指定的源地址可以是主机名、网络名和清晰IP地址。掩码表示可以是网络掩码或数字。在网络掩码的左边,在网络掩码左边的1号码是指定的,所以掩码值等于24 255.255.255.0.add !指定地址前的指令以指定相反的地址段。标志——SRC是此选项的一个简短列表。
-目的地{地址} /掩码}!
要指定目标地址,要获得详细的说明,请参见s标志的说明。
- j -跳转目标
-目标跳跃
指定的规则的目标;即,如果包的比赛应该做什么。目标可以是用户定义的链(不规则),一个特定的内置对象,将决定包的命运立即,或扩展(见下面的扩展)。如果这个选项被忽略,匹配过程不影响包,但规则的计数器会增加。
点评:iptables的中文手册,使用iptables - ADC指定规则链,-添加-删除- D C改性
- {日}链规则iptables规则规范{选项} NUM
iptables里是规则中指定的顺序
iptables - D链规则Num {选项}
删除指定规则
规则
-我在接口{ } }!
输入接口(网络){ }!
这是可选的条目名称,包接收通过接口,通过接口接收(链中输入了,进入分组和PREROUTING)。当!在接口名称之前使用描述,它引用相反的名称。如果接口名称被添加如果忽略该选项,它将被假定为+
-输出接口{!} }
-输出接口{ }
这是可选的出口名称为包通过接口发送,和包是通过口岸出口(数据包发送的链,输出和POSTROUTING)。当!在接口名称之前使用描述,它引用相反的名称。如果接口名称被添加如果忽略该选项,它将被假定为+
{,},片段!
{!f - f -切片
这意味着,在分段包中,规则只要求第二个和后面。从那时起,无法匹配包的源端口或目标端口(或ICMP类型),这样的包不能匹配指定它们匹配的任何规则!在-符号之前使用说明,意思是相反的。
其他选项
其他选项
您还可以指定以下附加选项:
-详细
-详细
详细的输出。此选项允许列表命令显示接口地址,规则选项(如果有)和TOS(服务类型)面膜。包和字节计数器将显示,分别为K、M、G(前缀)1000, 1000000和1000000000次说(但请参阅X的标志,改变它)添加、插入、删除和替换命令,详细信息有关它将使一个或多个规则被印。
——数字
n数
数字输出。IP地址和端口将以数字的形式打印。默认情况下,程序试图显示主机名、网络名或服务(只要有可用)。
-精确的
-精度
扩展这个数字。确切的值显示,用K,M G代替的数据包和字节计数器。A。这个选项只能用于L命令。
线数
当列表显示规则时,行号被添加到每个规则的前面,对应于链中规则的位置。
匹配扩展
相应的延伸
iptables可以使用一些扩展包匹配模块。以下是扩展包的基本方案,其中大部分可以通过添加在他们面前表达相反的意思!
传输控制协议
当指定协议TCP并没有指定其他匹配扩展时,加载这些扩展:
-源端口{!{端口}:端口}
指定源端口或端口范围。这可以是一个服务名称或端口号。使用格式端口:端口还可以指定端口的范围。如果忽略端口号,默认值是0。如果忽略终端端口号,默认值是65535 。如果第二个端口号大于第一个端口号,那么它们将被交换。
——{ { {目的地端口端口:端口} } }!
目标端口或端口范围指定。这个选项可以被取代的——--dport别名。
- TCP标志{掩码合并}!
符合指定的TCP标记。第一个参数是要检查标签,列表,以逗号分隔,第二个参数是一个用逗号隔开的标记表,必须设置,标志如下:SYN ACK鳍RST URG PSH都没有。因此,这个命令iptables -一个正向P TCP SYN ACK,TCP标志,鳍,RST SYN比赛只有那些包都没有设置,设置的标签,而标签没有设置。
{ SYN }!
只匹配设置SYN位并清除ACK和鳍位的TCP包。这些包用于在初始化TCP连接时发出请求。例如,当大量包进入接口时,阻塞将阻止TCP连接进入,TCP连接不会受到影响。这相当于TCP标志SYN、RST、ACK SYN!在前面标记——SYN
——TCP选项{ }!
匹配使用TCP选项设置。
UDP
当指定了协议UDP和未指定其他匹配扩展时,将加载这些扩展,它提供以下选项:
-源端口{端口:{ } }!
指定源端口或端口范围。请参见TCP扩展的源端口选项描述。
-目标端口{端口:{ } }!
指定目标端口或端口范围。
ICMP
当指定协议ICMP并未指定其他匹配扩展时,将加载扩展名:
ICMP类型{类型}!
此选项允许ICMP类型被指定,一个数字的ICMP类型,或一个ICMP类型名称由命令iptables -p icmp -h显示
雨衣
——MAC源{地址}!
匹配的物理地址,它必须是一个格式:XX XX XX XX:::xx.notice只包来自以太网设备进入PREROUTING,提出它是有效的,和输入链。
极限
该模块匹配标记用一定速度的标记桶滤波器进行匹配。它与对数目标匹配以提供有限数量的着陆。当达到此限制时,扩展包的规则将匹配。
极限速度
最大平均匹配率',或' secondrsquo,, / / hourrsquo minutersquo,',或',, / dayrsquo,等等,这是3 /小时默认。
——极限爆破次数
要匹配的初始数字的最大数目:如果先前指定的限制未达到,则总数为1。默认值是5。
多端口
这个模块匹配一组源端口或目标端口,并且最多可以指定15个端口。
-源端口{端口{,} }
如果源端口是给定端口之一,则匹配匹配。
-目标端口{端口{,} }
如果目标端口是给定端口之一,则匹配匹配。
——端口{ { },端口}
如果源端口与目的端口相等,等于给定端口,则匹配匹配。
作记号
这个模块匹配的Netfilter过滤标记字段(这下面可以设置使用标志牌)。
点评:iptables的中文手册,使用iptables - ADC指定规则链,-添加-删除- D C改性
- {日}链规则iptables规则规范{选项} NUM
iptables里是规则中指定的顺序
iptables - D链规则Num {选项}
删除指定规则
规则
-标记值{掩码/ }
与未签名的标记值匹配的包(如果指定了掩码,则在比较之前将逻辑标记添加到掩码中)。
业主
这个模块试图为包的本地生成创建包匹配包的创建者的不同特性,它只能在输出链中使用,即使这样的包(如ICMP ping响应)可能不是所有者,它也永远不会匹配。
——业主用户UID
如果给定一个有效的用户ID,那么包与它的进程匹配。
——GID所有者GroupID
如果给定一个有效的组ID,则该包与它的进程匹配。
业主seessionid希德
给定的会话组匹配进程生成的包。
状态
此模块与连接跟踪一起使用时,允许访问包的连接跟踪状态。
——状态
在这里,国家是一个逗号分隔的列表匹配的连接状态,可能的状态:无效说包是未知的连接,建立连接的双向传输,新的说,新的连接的包,否则就是非双向传输,而相关的新的连接的包说,但与现有的在一起,这样FTP等数据,或一个ICMP错误。
不洁的
这个模块没有选择,但它试图匹配那些奇怪的,不寻常的包。
TOS
此模块与IP包的第一部分(即,它包含在优先级位)中的8位服务(服务类型)字段相匹配。
——tos
这个参数可以是一个标准的名称,(看看iptables m TOS -H列表),或价值。
目标扩展
iptables可以使用扩展目标模块:以下是包含在标准版。
日志
打开匹配包内核记录。当此选项设置的规则,Linux内核打印一些关于所有匹配的包的信息(如IP包头场)通过printk()。
——日志级
创纪录的水平(数字或看到syslog.conf(5))。
——日志前缀前缀
在记录信息之前添加一个特定的前缀:最多14个字母长,用来区分其他信息和记录。
——记录tcp序列
记录TCP序列号。如果用户可以读取记录,这将是一个安全隐患。
——记录TCP选项
记录来自TCP包头部门的选项。
——记录IP选项
记录IP包头部的选项。
作记号
Netfilter的标签值用于设置包。它只适用于mangle表。
——设置mark mark
拒绝
作为对匹配包的响应,返回一个错误包:在其他情况下,与丢包相同。
这个目标只适用于输入、转发和输出链以及调用这些链的用户定义链。这些选项控制返回的错误包的属性:
-用类型拒绝
类型可以是ICMP网络不可到达,ICMP主机不可达,ICMP端口nreachable,ICMP协议ICMP网络遥不可及,禁止或禁止ICMP主机,并返回相应的ICMP错误信息(默认端口不可达)。选项echo-reply也是允许的;它只能用于指定ICMP ping包的生成的ping响应规律。最后,选择TCP重置可用于输入链,或规则从输入链称,只有匹配TCP协议:它会回应一个TCP RST包。
TOS
的IP包的第一个八位TOS是成立的。它只能使用mangle表。
-设置服务条款
你可以使用一个数值的TOS值,或使用iptables,TOS H查看名单有效TOS名。
镜子
这是一个试验和演示的目标,它可以用来转换IP地址的第一个字段中的源地址和目的地址,然后传输包,只适用于输入、转发和输出链以及只调用它们的用户定义链。
斯耐特
这一目标只适用于POSTROUTING链的NAT表。它指定包的源地址改性(所有的包后,此连接将受到影响),停止检查规则,并包含选项:
-指向源端口:{端口}
您可以指定一个新的IP地址、IP地址范围或端口范围(仅在指定的p - TCP或p UDP规则中)。如果没有指定端口范围,则端口小于512将被放置在其他512个端口中。512到1024之间的端口将放置在1024以下,其他端口将放置1024或更多。如果可能的话,端口不会被修改。
——destiontion { - } {:港口}
您可以指定一个新的IP地址、IP地址范围或端口范围(仅在指定的P - TCP或P - UDP规则中)。如果没有指定端口范围,目标端口将不会被修改。
假面舞会
在POSTROUTING链,仅用于NAT表。它只能用于IP动态访问(拨号)连接:如果你有一个静态IP地址,你使用SNAT。伪装是相当于设置一个图像的IP地址,通过接口发送数据包时,当接口是封闭的,连接被终止。这是因为目前的拨号不一定是相同的接口地址(所有后续的连接将被关闭)。它有一个选项:
-到端口{端口> }
指定源端口范围指定覆盖默认SNAT源地址选择(见上图)。此选项只适用于规则指定的TCP或UDP - P - P。
重定向
的PREROUTING和OUTPUT链,只适用于NAT表,和用户定义的链,只叫他们。它修改包的目标IP地址的包发送到机器本身(本地生成的包放在地址127.0.0.1),它包含一个选项:
-到端口{ }
指定的目标端口或端口范围:如果未指定目标端口,则不会修改它。它只能用于指定p - TCP或p UDP的规则。
诊断
诊断
不同的错误消息可以被打印到一个标准错误:出口代码0是正确的。误用或误用的命令行参数错误返回错误代码2,另一个错误返回代码是1。
漏洞
缺陷
检查尚未实现(尚未)。
考试还没有结束。
兼容的软件
兼容的软件
iptables和Rusty Russell ipchains非常相似。主要的区别是,输入链只用于包进入本地主机,输出仅用于从本地主机生成的包,每个包只通过三个链;先前转发数据包将通过所有的三链。其他主要的区别是,我引用的是进入界面;O是指输出接口,两者都适用于分组进入FORWARD链。当使用可选的扩展模块默认的过滤表,iptables是一个纯粹的包过滤,可以大大减少混乱,用于IP伪装和包过滤的组合,所以下面g选项的处理方式不同:
点评:iptables的中文手册,使用iptables - ADC指定规则链,-添加-删除- D C改性
- {日}链规则iptables规则规范{选项} NUM
iptables里是规则中指定的顺序
iptables - D链规则Num {选项}
删除指定规则
规则
J MASQ
- M - S
- L
有几种不同的链包。