linux下iptables配置上

作者佚名技术来源 Linux系统浏览发布时间 2012-04-23

ptables的命令格式及使用

在linux中【】中的内容表示可有可无,这里再强调下

iptables的命令格式较为复杂,一般的格式如下：Iptables 【-t table】 command chains （NUM） match condition -j action

命令选项：

--append -A append 在规则表的追加一条规则

--insert -I 【n】插到第n条规则之前

--replade -R n replace 第n条新规则

--delete -D n delete第n条规则

--flush -F 清空表中所有规则

--policy -P ACCEPT|DROP 默认策略动作

--new-chain -N z自定义新链

--rename-chain -E 重命名用户自定义的链

--zero -Z 清零计数器

1．所有被本规则匹配到的数据包的个数

2. 所有被本规则匹配到的数据包的数据之和

--list -L list链中的所有规则默认保存在/etc/sysconfig/iptables

-x 显示-Z选项中的数据时,不作单位换算,显示精确值

-n 不作名称解析,以数字的格式显示ip

-v | -vv |-vvv|-vvvv | 显示详细的信息

--line-numbers 显示行号

-S 同-L ,print出来

匹配选项

匹配分为通用匹配和扩展匹配

A．通用匹配

--proto -p protocol协议类型

--source -s src-address数据包匹配的源地址

--destination -d dst-address数据包匹配到目标地址

--in-terface -i in_interface数据入口

--out-interface -o out-interface数据出口

B．扩展匹配

扩展又分为隐含扩展和显式扩展

隐含匹配显式扩展拥有帝国一切，皆有可能。欢迎访问phome.net

tcp --source-port -m tcp

--dport -m state --state NEW|ESTABLISHED|RELATED| INVALID

--sport -m limit --limit n/days |minute

--limit-burst N 峰值

--type-flags -m string --string

--syn -m mac --mac—source

-m multiport --source-ports

--destination-ports

--tcp-flags mask comp

Udp --sport

--dport

Icmp --icmp-types

8 echorequest

0 echo-reply

3 destination unreachable

Action 动作

-j DROP 丢弃数据包（“悄悄地“）

REJECT 丢弃数据包（明确的）

ACCEPT 接收数据包

SNAT 源端口转换

DNAT 目的端口转换

LOG 记录日志

REDIRECT 端口转换

MASQUERADE 端口伪装（动态获取网关时用,耗系统资源）

保存iptables规则 ,默认是不保存的,重启后,规则就会消失

[root@localhost ~]# service iptables save 默认保存在/etc/sysconfig/iptables下

[root@localhost ~]# iptables-save > /etc/iptables.save 自定义保存

Iptables的实例演示

下面我们来简单接触下ipitables的用法,然后再慢慢深入

[root@song ~]# iptables -t filter –L 查看filter表的规则

Chain INPUT (policy ACCEPT)