欢迎来到天天文库
浏览记录
ID:28494613
大小:49.86 KB
页数:19页
时间:2018-12-10
《iptables 使用简介.docx》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、iptables使用简介----Tag:iptables 使用简介- #iptables-AINPUT-jACCEPT大小楷绝不可以乱!输入这条rule后,用"iptables-L-v-n"该看到类似以下结果︰ChainINPUT(policyACCEPT2939packets,1124863bytes)pktsbytestargetprotoptinoutsourcedestination1241ACCEPTall--**0.0.0.0/00.0.0.0/0它表示甚么呢?-A是a
2、ppend(附加),它会在INPUT、FORWARD、OUTPUT其中一条"chain"里加一条"rule"而这条rule在随后的参数将会见到。而-j呢,则是定义究竟那些packet(包)该怎样处理。现在是ACCEPT,即让它通过。如果不想让任何packet通过呢?十分简单︰#iptables-RINPUT1-jDROP今次由ACCEPT变DROP,就不会有任何packet可以过关了。但......-R又是甚么?那是replace的意思,随后的"INPUT1"即replace了第一条chain,即刚才ACCEPT那一条呀!当然,firewall的功用不可能是禁
3、止任何traffic吧!因此让我们先清除它︰#iptables-DINPUT1-D表示delete,用法和上面的-R一样。除了-A、-R、-D外还有-I表示insert;-A是逐条逐条rule加上去,-I则是在整串的rule中间加插某一条rule,除此之外没有其它分别了。最后还有-F表示flush,顾名思义它会把你辛辛苦苦set好的rule都冲进马桶里!有关IPaddress的选项再多点热身才好办事,试试吧︰#iptables-AINPUT-s199.95.206.201-jDROP为甚么用这个IP作示范?总之是个讨人厌的地方吧!不要问了!一句说完,就是blo
4、ck了这一个IP不准它有任何traffic进入自己的地盘。不单是一个IP,一个range的IP也可以︰#iptables-AINPUT-s10.0.0.0/8-jDROP如果你的LAN是使用192.168.0.x的,那当然不希望有10.x.x.x地址出现!因此DROP了这种IP是很正常的。上面两个例子是用-s(即sourceIP)的,且看看它的反面,即-d(destination)的例子︰#iptables-AINPUT-d192.168.0.1-jDROP假设你的IP是192.168.0.2吧,那么这条rule对你完全没有影响;相反,若你的IP是192.16
5、8.0.1,那任何到你的机器的packet都会被DROP了。-s和-d可以放在一起用,而且它们和IPaddress之间可以放一个叹号(!)表示"not"的意思。例如︰#iptables-PINPUTDROP#iptables-AINPUT-s!192.168.0.3-d192.168.0.0/24-jACCEPT笔者漏了-P未介绍,那是defaultpolicy的意思,即预先定义如果甚么rule也不能决定packet的去向的时候,会预设让它通过呢,还是预设拒诸门外,还是做其它动作。这里预设是DROP。好了,下一句才是笔者想讲的,意思是︰如果source不是19
6、2.168.0.3,而destination是192.168.0.x任何一个IP,都会让它通过。那即是封杀了192.168.0.3!在看下一节前,先清一清旧的垃圾rules罢︰#iptables-F属于这类的选项很少,和上面的一样,只有两个︰-i和-o。-i是指明input的interface,只会在INPUTchain时有用;相反,-o是outputinterface,只会在output时有用。先看看实例︰#iptables-AINPUT-ieth1-s192.168.0.0/24-d192.168.0.0/24-jACCEPT很简单,接受所有LAN的tra
7、ffic罢了。不过还加上"-ieth1",防止LAN外有人刻意送入一些假的packet,扮成是内部的traffic。但这个其实已不需要了,因kernel本身已有机制可防止这种情况,输入以下一句就行,解释就免了。^_^#echo'1'>/proc/sys/net/ipv4/conf/all/rp_filter还有-o......用一个简单的例子吧。#iptables-AOUTPUT-oppp0-d205.138.3.22-jREJECT其实并不简单。首先,-jREJECT和-jDROP的相同之处都是拒绝,但DROP是当没事发生,REJECT则是送出回应说这个pa
8、cket被REJECT了。另外,紧记︰
此文档下载收益归作者所有