(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
filter为包过滤防火墙默认表,nat表,mangle表
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
2、 指定操作命令
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
添加、删除、更新
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
3、 指定链
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
操作包过滤防火墙的input,output,forward。也可能操作自己定义的。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
4、 指定规则匹配器
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
各种规则匹配。如IP、端口、包类型
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
5、 指定目标动作
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
ACCEPT表示通过 DROP表示被丢弃 REJECT表示拒绝包
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
LOG表示包的有关信息被记录日志 TOS改写包的TOS值
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
用法:<严格区分大小写
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
iptables [-t table] cmd [chain][rule-matcher][-j target]
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
cmd:
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-A 在所选链的尾添加一条或多条规则
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-D 删除
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-R 替换
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-I 插入
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-L 列出所有规则
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-F 清除
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-N 创建
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-X 删除指定的用户定义链
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-P 为永久链指定默认规则
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-C 检查给定的包是否与指定链的规则相匹配
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-Z 将指定链中所有规则的包字节记数器清零
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
-h 显示帮助信息
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
//例子
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
# touch /etc/rc.d/filter-firewall
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
//
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
IPT=/sbin/iptables
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
WWWSERVER=192.168.168.119
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
FTPSERVER=192.168.168.119
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
IPRANGE=192.168.168.0/24
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
$IPT -F
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
$IPT -P FORWARD DROP
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
$IPT -A FORWARD -p tcp -d $WWWSERVER --dport www -i eth0 -j ACCEPT
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
$IPT -A FORWARD -p tcp -d $FTPSERVER --dport ftp -i eth0 -j ACCEPT
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/linux/)
$IPT -A INPUT -s 192.168.168.81 -i eth0 -j DROP