返回
iptables增加与插入规则语法

iptables增加与插入规则语法

ID:12664187

大小:41.50 KB

页数:0页

时间:2018-07-18

iptables增加与插入规则语法_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《iptables增加与插入规则语法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、iptables[-tfilter][-AIINPUT,OUTPUT,FORWARD][-iointerface][-ptcp,udp,icmp,all][-sIP/network][--sportports][-dIP/network][--dportports]-j[ACCEPT,DROP]参数说明:-A:新增加一条规则,该规则增加在最后面,例如原本已经有四条规则,使用-A就可以加上第五条规则!-I:插入一条规则,如果没有设定规则顺序,预设是插入变成第一条规则,例如原本有四条规则,使用-I则该规则变成第一条

2、,而原本四条变成2~5 INPUT :规则设定为filtertable的INPUT链 OUTPUT:规则设定为filtertable的OUTPUT链 FORWARD:规则设定为filtertable的FORWARD链 -i   :设定『封包进入』的网络卡接口-o    :设定『封包流出』的网络卡接口 interface:网络卡接口,例如ppp0,eth0,eth1.... -p :请注意,这是小写呦!封包的协议啦! tcp:封包为TCP协议的封包; upd:封包为UDP协议的封包; icmp:封包为ICMP协议

3、; all:表示为所有的封包! -s:来源封包的IP或者是Network(网段);--sport:来源封包的port号码,也可以使用port1:port2如21:23    同时通过21,22,23的意思-d:目标主机的IP或者是Network(网段);--dport:目标主机的port号码; -j  :动作,可以接底下的动作; ACCEPT:接受该封包 DROP :丢弃封包 LOG  :将该封包的信息记录下来(预设记录到/var/log/messages档案)范例一:所有的来自lo这个界面的封包,都予以接受[

4、root@testroot]#iptables-AINPUT-ilo-jACCEPT#注意一下,因为-d,--dport,-s,--sport等等参数都没有设定,这表示:#不论封包来自何处或去到哪里,只要是来自lo这个界面,就予以接受!#这个观念挺重要的,就是『没有设定的规定,则表示该规定完全接受』的意思!#例如这个案例当中,关于-s,-d...等等的参数没有规定时! 范例二:来自192.168.0.1这个IP的封包都予以接受:[root@testroot]#iptables-AINPUT-ieth0-ptcp

5、-s192.168.0.1-jACCEPT#新增一条规则,只要是来自于192.168.0.1的封包,不论他要去哪里,使用的是那个协议(port)主机都会予以接受的意思。范例三:来自192.168.1.0这个CClass的网段的任何一部计算机,就予以接受![root@testroot]#iptables-AINPUT-ieth0-ptcp-s192.168.1.0/24-jACCEPT#这个是网段的写法喔!稍微注意一下的是,在范例二当中我们仅针对一个IP,#至于这个范例当中,则是针对整个网段来开放吶!而网段的写法

6、可以是:#192.168.1.0/24也可以是192.168.1.0/255.255.255.0都能够接受喔! 范例四:来自192.168.1.25的封包都给他丢弃去![root@testroot]#iptables-AINPUT-ieth0-ptcp-s192.168.1.25-jDROP 范例五:只要是想进入本机的port21的封包就给他丢弃[root@testroot]#iptables-AINPUT-ieth0-ptcp--dport21-jDROP 范例六:来自192.168.0.24这个IP的封包,

7、想要到我的137,138,139端口时,都接受[root@testroot]#iptables-AINPUT-ieth0-ptcp-s192.168.0.24--dport137:139-jACCEPT 范例七:只要是接触到我主机的port25就将该封包记录(LOG)下来[root@testroot]#iptables-AINPUT-ptcp--dport25-jLOG#还是请特别注意到『规则的顺序排列』的问题喔!iptables的其它相关参数说明:[!]--syn:这个设定仅能用于-ptcp的规则中,因为TC

8、P封包有syn的旗标存在啊!当TCP封包存有syn旗标,表示这个联机是对方『主动』连过来的!若于--syn之前加上!表示该封包不带有syn的意思~(刚好相反之意!) 范例一:将来自192.168.100.200的主动联机封包丢弃:[root@testroot]#iptables-AINPUT-ptcp-ieth0-s192.168.100.200--syn-jDROP --icmp-t

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。