iptables 基本说明
2015-07-19 02:47
197 查看
原理性的不解释,这东西用了才会理解
命令格式
基本元素
基本表
基本命令
基本链
基本匹配
基本目标项
命令格式
iptables [-t table] command [match] [target] |
-表 -命令 -链 -匹配 -动作 |
filter、nat 和 mangle |
command 说 明-A 或 --append 该命令将一条规则附加到链的末尾-D 或 --delete 通过用 -D 指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除该规则-P 或 --policy 该命令设置链的默认目标,即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略-N 或 --new-chain 用命令中所指定的名称创建一个新链-F 或 --flush 如果指定链名,该命令删除链中的所有规则,如果未指定链名,该命令删除所有链中的所有规则。此参数用于快速清除-L 或 --list 列出指定链中的所有规则-R 或 --replace 替换指定链中一条匹配的规则-X 或 --delete-chain 删除指定用户的的定义链,若没有指定链,则删除所有的用户链-C 或 --check 检查数据包是否与指定链的规则相匹配-Z 或 --zero 将指定链中所有规则的 byte 计数器清零 |
INPUT OUTPUT FORWARD PREROUTING POSTROUTING |
match 说 明-p 或 --protocol 该通用协议匹配用于检查某些特定协议。协议示例有 TCP、UDP、ICMP、用逗号分隔的任何这三种协议的组合列表以及 ALL(用于所有协议)。ALL 是默认匹配。可以使用 ! 符号表示不与该项匹配-s 或 --source 该源匹配用于根据信息包的源 IP 地址来与它们匹配。该匹配还允许对某一范围内的 IP 地址进行匹配,可以使用 ! 符号,表示不与 该项匹配。默认源匹配与所有 IP 地址匹配-d 或 --destination 该目的地匹配用于根据信息包的目的地 IP 地址来与它们匹配。该匹配还允许对某一范围内 IP 地址进行匹配,可以使用 ! 符号表示不与该项匹配--sport 指定匹配规则的源端口或端口范围--dport 指定匹配规则的目的端口或端口范围-i 匹配单独的网络接口或某种类型的接口设置过滤规则 |
target 说 明 ACCEPT 当信息包与具有 ACCEPT 目标的规则完全匹配时,会被接受(允许它前往目的地) DROP 当信息包与具有 DROP 目标的规则完全匹配时,会阻塞该信息包,并且不对它做进一步处理。该目标被指定为 -j DROP REJECT 该目标的工作方式与 DROP 目标相同,但它比 DROP 好。和 DROP 不同,REJECT 不会在服务器和客户机上留下死套接字。另外,REJECT 将错误消息发回给信息包的发送方。该目标被指定为 -j REJECT RETURN 在规则中设置的 RETURN 目标让与该规则匹配的信息包停止遍历包含该规则的链。如果链是如 INPUT 之类的主链,则使用该链的默认策略处理信息包。它被指定为 -jump RETURN LOG 表示将包的有关信息记录入日志 TOS 表示改写数据包的 TOS 值
相关文章推荐
- SELinux管理与配置
- xinetd-ftpd 访问控制例子
- Google开源网页加速工具Page Speed
- Creating your own JavaScript Library
- 记录一个坑爹的问题
- linux tr命令详解
- cpanm perl模块自动安装
- [Linux C]双色球计算程序
- Project Euler 46 solution optimized using C++ meta-programming
- Mac设置截图保存位置
- 希尔排序算法
- 逆向工程破解软件的一些汇编命令
- Java中匿名内部类总结
- tableView的刷新,cell重用失败的问题
- 计蒜客 429(腾讯手机地图-pi的精确值)
- 多线程四种封装方式,外部类调用两种,匿名内部类两种
- android 无标题栏的设置方法
- 你必须知道的指针基础-3.指针的移动及指针的危险
- 常用的linux指令
- poj 3083 Children of the Candy Corn 搜索