码迷,mamicode.com
首页 > 其他好文 > 详细

iptables之iptables命令详解

时间:2015-06-20 22:15:57      阅读:179      评论:0      收藏:0      [点我收藏+]

标签:命令   iptables   

#iptables [OPTION] COMMAND CHAIN 匹配标准 -j TARGET
    [OPTION]
        -t TABLENAME  不指定默认为filter
        -j 指定TARGET

    COMMAND
        管理规则
            -A 在链的尾部添加一条规则
            -I  CHAIN [NUM] 在CHINA链上插入第NUM条规则,不指定NUM表示插入为第一条
            -D CHAIN [NUM] 删除CHAIN链上的第NUM条规则
            -R CHAIN [NUM] 替换CHAIN链上的第NUM条规则


        管理链
            -F [CHAIN] flush 清空指定规则链,若不指定链,则删除对应表中的所有链
            -P CHAIN TAREGT 设置指定链的默认策略
            -N 自定义一条空链
            -X 删除自定义空链
            -Z 清空指定链中所有规则的计数器
            -E OLDCHAINNAME NEWCHAINNAME 重命名自定义链名

        查看类
            -L list 显示指定表中的规则
            -n 以数字格式显示主机地址和端口号,否则默认iptables将反解主机名和端口
            -v 显示详细信息
            -x 显示计数器精确值,不做单位换换和圆整
            --line-numbers 显示规则号码
            
    CHAIN 链的名称

    匹配标准
        注意:绝大部分匹配条件都可以取反,即使用!
        通用匹配
            -s,--scr 源地址
            -d,--dst 目的地址
            -p {tcp|udp|icmp} 协议类型
            -i INTERFACE 指定数据报文流入的接口
                只能定义在PREROUTING INPUT FORWARD链
            -o INTERFACE 指定数据报文流出的接口
                只能定义在POSTROUTING OUTPUT FORWARD链

        扩展匹配
            隐含扩展
                -p PROTOCOL

                    PROTOCOL
                        tcp
                            --sport PORT[-PORT] 源端口,可以使用连续端口
                            --dport PORT[-PORT]  目标端口,可以使用连续端口
                            --tcp-flags  MASK COMP tcp标志位,指定MASK表中,查找COMP表中为1,其余为0的标记位。常用的标记位:SYN FIN ACK RST  ALL NONE
                            --syn 匹配3次握手中的第一次

                        udp
                            --sport
                            --dport

                        icmp
                            --icmp-type TYPE
                                TYPE
                                    0 ICMP响应报文
                                    8 ICMP请求报文

            显示扩展 使用额外的匹配机制
                -m EXTESTION SPECIAL-OPTION

                 /lib/iptables/libpt_*.so 扩展模块

                        state 状态扩展,结合ip_conntrack追踪会话的状态
                             --state
                                NEW 发起的连接请求
                                ESTABLISHED 已建立的连接
                                INVALID 非法连接
                                RELATED 相关联的

                        multiport 离散的多端口匹配扩展,最多支持15个端口
                            --source-ports PORT,...PORT1:PORT2,... 源端口
                            --destination-ports PORT,...PORT1:PORT2,... 目的端口
                            --ports PORT,...PORT1:PORT2,... 端口

                        iprange 指定IPv4地址段
                            --src-range IP1-IP2
                            --dst-range  IP1-IP2

                        connlimit 连接数限制
                           --connlimit-above  NUM 指定每个客户端已存在的tcp连接个数超出NUM个

                        limit  令牌桶过滤器机制的流量整合,不控制最大上限,只控制单位时间内速率以及单位时间内峰值
                            --limit NUM/RATE 指定单位时间内的请求速率
                                RATE
                                    second
                                    minute
                                    hour       
                            --limit-burst NUM 单位时间内请求峰值,默认值为5

                        string 匹配符合某种模式的字符
                            --algo  bm|kmp 指定匹配算法
                            --string PATTERN 指定PATTERN
                            --hex-string PATTERN 把PATTERN变为16进制

                        recent 创建IP地址清单用于匹配
                            --set  添加报文源地址到清单,若源地址已存在则更新
                            --name NAME 创建一个名为NAME的清单,不指定NAME使用DEFAULT作为名称。
                            --update 更新源地址,但是不会更新”last seen“时间戳
                            --seconds NUM 匹配清单中存在的并且在过去NUM秒中出现的的地址。
                            --hitcount NUM 匹配清单中存在并且接收数据包大于或等于NUM次的地址

                        layer7 安装l7以后才能使用此扩展
                            --l7proto PROTOCOL  具体协议请参照/etc/l7-protocols下

                        time 重新编译内核后才有
                            --datestrat YYYY-MM-DDThh:mm:ss 不指定默认为1970-01-01
                            --datestop YYYY-MM-DDThh:mm:ss 不指定默认为2038-01-19

                            --timestart hh:mm:ss
                            --timestop hh:mm:ss

                            --montudayes DAY1,[DAY2...]
                                DAY取值为1-31
                            --weekdays  DAY1,[DAY2...]  
                                DAY取值为Mon Tue Wed Thu Fri  Sat Sun 或者1-7


    TARGET 处理动作
        ACCEPT 允许
        DROP 丢弃
        REJECT 丢弃并返回信息
        REDIRECT 端口重定向
        RETURN 跳转回主链
        CHAINNAME 自定义链名成

        LOG 记录日志
            --log_level NUM 日志级别
            --log_prefix “STRING” 日志前缀,最长29字符
            --log_tcp_sequence TCP序列号
            --log_tcp_options TCP报文选项
            --log_ip_options IP报文选项
            --log-uid  数据包对应进程的用户id

        MARK 设定标记

        SNAT 源地址转换
            --to-source  IP[-IP][:PORT1-PORT2] 指定把源地址转换为IP

        DNAT 目标地址转换
            --to-destination  IP 指定把目标地址转换为IP

        MASQUERADE 地址伪装
            类似与SNAT --to-source,适用于pppoe等源地址随时变动的情况,会自动指定地址。效率比SNAT低。

本文出自 “小私的blog” 博客,请务必保留此出处http://ggvylf.blog.51cto.com/784661/1663823

iptables之iptables命令详解

标签:命令   iptables   

原文地址:http://ggvylf.blog.51cto.com/784661/1663823

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!