欢迎来到天天文库
浏览记录
ID:38191723
大小:34.67 KB
页数:4页
时间:2019-05-24
《linux_iptables配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Linux_iptablesIptables默认包含三张表:netfilter/nat/mangleNetfilter:包含三条链,分别为INPUT/FORWORD/OUTPUTNat:包含三条链,分别为Prerouting/output/postroutingMangle:包含5条链,主要作用是修改标志位,进行包过滤和策略路由Iptables命令格式:Iptables【-t表名】<命令>[链名][规则号][规则][-j目标]表-链-规则的关系如果不指明表名,默认是netfilter表<命令>-A<链名><规则>*在指定的链名后添加一条或者多条规则*
2、-D<链名><规则>*从指定的链中删除一条或者多条规则*-R<链名><规则号><规则>*在指定的链中用心的规则置换指定的某一规则号的规则*-I<链名><规则号><规则>*在指定的规则号前插入一条或者多条规则,默认为1*-L<链名>*列出指定链中的所有规则*-F<链名>*删除指定链中的规则*-N<链名>*建立一个新的用户自定义链*-X<链名>*删除指定的用户自定义链*这个链必须没有被引用,而且不包含任何规则-P<链名>*为指定的链设置规则的默认目标*当一个数据包与所有的规则都不匹配时采用这个默认的目标动作-E<链名>*重新命名链名,对链的功能没有影响*
3、<规则>-p<协议类型>-ptcp–sport-s-ptcp–dport-d-ptcp--syn-I<网络接口>-picmp–icmp-type类型可以使echo-replyecho-request-o<网络接口>如果要指定一个端口范围,可以用-m参数指定模块,如-mmultiport--sport指定数据包的多个源端口-mmultiport--dport-mmultiport--port-mst
4、ate--state指定满足某一状态的数据包-mconnlimit--connlimit-above用于限制客户端到一台主机的TCP并发连接总数-mmac--mac-source指定数据包的源MAC-j选项-jACCEPT:放行与规则匹配的数据包-jREJECT:拒绝与规则匹配的数据包-jDROP:丢弃所匹配的数据包-jREDIRECT:重定向数据包-jLOG:记录与规则相匹配的数据包日志-j<规则链名称>:数据包传递到另一规则链主机防火墙:如果对防火墙做了修改,且想保存已经配置的iptables规则,/etc/
5、rc.d/init.d/iptablessave此时所有的规则被保存在/etc/sysconfig/iptables文件中Iptables–L查看规则表Iptables–v列出每一条规则当前匹配的数据包数,字节数,以及要求数据包进来和出去的网络接口Iptables–n不对显示结果中的IP地址和端口做名称解析,直接以数字的形式显示Iptables–line-number在第一列显示每条规则的规则号Netfilter表默认有三条链:INPUT;OUTPUT;FORWARD1.iptables–AINPUT–ptcp–dport80–jACCEPT*允许目
6、标端口为80的tcp数据包通过INPUT链2.iptables–AINPUT–s192.168.1.0/24–Ieth0–jDROP*丢弃从eth0口进来,源地址为192.168.1.0/24的数据包3.iptables–AINPUT–pudp–sport53–dport1024:65535–jACCEPT*允许源端口为53,目标端口为1024到65535的tcp包通过INPUT链4.iptables–AINPUT–ptcp–tcp-flagsSYN,RST,ACKSYN–jACCEPT*--tcp-flags子选项用于指定TCP数据包的标志位,可以
7、有SYN,RST,ACK,FIN,URG,PSH六种,用空格分成两部分,前一部分列出有要求的标志位,后部分列出要求值为1的标志位5.iptables–AINPUT–ptcp–mmultiport–dport20:23,53,80,110–jACCEPT*接受来自20:23,53,80,110这些端口的tcp数据包,-mmultiport用于指定多个端口6.iptables–AINPUT–picmp–mlimit–limit6/m–limit-burst8–jACCEPT*当一分钟内通过的icmp包超过8个时,触发每分钟通过6个数据包的限制条件7.ip
8、tables–AINPUT–pudp–mmac–mac-source!00:0C:6E:AB:AB:CC–j
此文档下载收益归作者所有
