linux_iptables配置

linux_iptables配置

ID:38191723

大小:34.67 KB

页数:4页

时间:2019-05-24

linux_iptables配置_第1页
linux_iptables配置_第2页
linux_iptables配置_第3页
linux_iptables配置_第4页
资源描述:

《linux_iptables配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Linux_iptablesIptables默认包含三张表:netfilter/nat/mangleNetfilter:包含三条链,分别为INPUT/FORWORD/OUTPUTNat:包含三条链,分别为Prerouting/output/postroutingMangle:包含5条链,主要作用是修改标志位,进行包过滤和策略路由Iptables命令格式:Iptables【-t表名】<命令>[链名][规则号][规则][-j目标]表-链-规则的关系如果不指明表名,默认是netfilter表<命令>-A<链名><规则>*在指定的链名后添加一条或者多条规则*

2、-D<链名><规则>*从指定的链中删除一条或者多条规则*-R<链名><规则号><规则>*在指定的链中用心的规则置换指定的某一规则号的规则*-I<链名><规则号><规则>*在指定的规则号前插入一条或者多条规则,默认为1*-L<链名>*列出指定链中的所有规则*-F<链名>*删除指定链中的规则*-N<链名>*建立一个新的用户自定义链*-X<链名>*删除指定的用户自定义链*这个链必须没有被引用,而且不包含任何规则-P<链名>*为指定的链设置规则的默认目标*当一个数据包与所有的规则都不匹配时采用这个默认的目标动作-E<链名>*重新命名链名,对链的功能没有影响*

3、<规则>-p<协议类型>-ptcp–sport-s-ptcp–dport-d-ptcp--syn-I<网络接口>-picmp–icmp-type类型可以使echo-replyecho-request-o<网络接口>如果要指定一个端口范围,可以用-m参数指定模块,如-mmultiport--sport指定数据包的多个源端口-mmultiport--dport-mmultiport--port-mst

4、ate--state指定满足某一状态的数据包-mconnlimit--connlimit-above用于限制客户端到一台主机的TCP并发连接总数-mmac--mac-source

指定数据包的源MAC-j选项-jACCEPT:放行与规则匹配的数据包-jREJECT:拒绝与规则匹配的数据包-jDROP:丢弃所匹配的数据包-jREDIRECT:重定向数据包-jLOG:记录与规则相匹配的数据包日志-j<规则链名称>:数据包传递到另一规则链主机防火墙:如果对防火墙做了修改,且想保存已经配置的iptables规则,/etc/

5、rc.d/init.d/iptablessave此时所有的规则被保存在/etc/sysconfig/iptables文件中Iptables–L查看规则表Iptables–v列出每一条规则当前匹配的数据包数,字节数,以及要求数据包进来和出去的网络接口Iptables–n不对显示结果中的IP地址和端口做名称解析,直接以数字的形式显示Iptables–line-number在第一列显示每条规则的规则号Netfilter表默认有三条链:INPUT;OUTPUT;FORWARD1.iptables–AINPUT–ptcp–dport80–jACCEPT*允许目

6、标端口为80的tcp数据包通过INPUT链2.iptables–AINPUT–s192.168.1.0/24–Ieth0–jDROP*丢弃从eth0口进来,源地址为192.168.1.0/24的数据包3.iptables–AINPUT–pudp–sport53–dport1024:65535–jACCEPT*允许源端口为53,目标端口为1024到65535的tcp包通过INPUT链4.iptables–AINPUT–ptcp–tcp-flagsSYN,RST,ACKSYN–jACCEPT*--tcp-flags子选项用于指定TCP数据包的标志位,可以

7、有SYN,RST,ACK,FIN,URG,PSH六种,用空格分成两部分,前一部分列出有要求的标志位,后部分列出要求值为1的标志位5.iptables–AINPUT–ptcp–mmultiport–dport20:23,53,80,110–jACCEPT*接受来自20:23,53,80,110这些端口的tcp数据包,-mmultiport用于指定多个端口6.iptables–AINPUT–picmp–mlimit–limit6/m–limit-burst8–jACCEPT*当一分钟内通过的icmp包超过8个时,触发每分钟通过6个数据包的限制条件7.ip

8、tables–AINPUT–pudp–mmac–mac-source!00:0C:6E:AB:AB:CC–j

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。