2010年10月26日星期二
iptables相关
1. 对规则的操作
加入(append) 一个新规则到一个链 (-A)的最后。
在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。
在链内某个位置替换(replace) 一条规则 (-R)。
在链内某个位置删除(delete) 一条规则 (-D)。
删除(delete) 链内第一条规则 (-D)。
2. 指定源地址和目的地址
通过--source/--src/-s来指定源地址(这里的/表示或者的意思,下同),
通过--destination/--dst/-d来指定目的地址。可以使用以下四中方法来指定ip地址:
a. 使用完整的域名,如 www.linuxaid.com.cn
b. 使用ip地址,如 192.168.1.1
c. 用x.x.x.x/x.x.x.x指定一个网络地址,如 192.168.1.0/255.255.255.0
d. 用x.x.x.x/x指定一个网络地址,如192.168.1.0/24这里的24表明了子网掩码的有效位数,这是 UNIX环境中通常使用的表示方法。
缺省的子网掩码数是32,也就是说指定192.168.1.1等效于192.168.1.1/32。
3. 指定网络接口
可以使用--in-interface/-i或--out-interface/-o来指定网络接口。从NAT的原理可以看出,对于PREROUTING链,我们只能用-i指定进来的网络接口;而对于POSTROUTING和OUTPUT我们只能用-o指定出去的网络接口。
-i:可以用于INPUT、FORWARD、PREROUTING链。
-o:可用于FORWARD、OUTPUT、POSTROUTING链。
4. 指定协议及端口
可以通过--protocol/-p选项来指定协议,如果是udp和tcp协议,还可--source-port/--sport和 --destination-port/--dport来指明端口。
5.
iptables -F -t nat:清除所有跟nat相关的规则
iptables -F:清除所有的规则。
iptables -X:清除指定的用户自定义chain。此时必须没有对该chain的引用。chain必须是空的,不包含任何规则。如果不给参数,就是删除所有table内非内置的规则。
iptables -Z:将所有chain的计数器清零。
iptables -P:为chain设置默认的target,可用的包括DROP和ACCEPT,这个target称为策略,所有不符合规则的包都被强制使用这个策略。
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
6、iptables中,目标规则REJECT和DROP的区别
DROP是丢弃,客户端得不到回应,REJECT拒绝并且返回包,客户端立即知道无法到达。
7、iptalbes不支持类似eth0:1这样的别名设备,可以尝试用别名设备的ip地址来进行控制。
加入(append) 一个新规则到一个链 (-A)的最后。
在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。
在链内某个位置替换(replace) 一条规则 (-R)。
在链内某个位置删除(delete) 一条规则 (-D)。
删除(delete) 链内第一条规则 (-D)。
2. 指定源地址和目的地址
通过--source/--src/-s来指定源地址(这里的/表示或者的意思,下同),
通过--destination/--dst/-d来指定目的地址。可以使用以下四中方法来指定ip地址:
a. 使用完整的域名,如 www.linuxaid.com.cn
b. 使用ip地址,如 192.168.1.1
c. 用x.x.x.x/x.x.x.x指定一个网络地址,如 192.168.1.0/255.255.255.0
d. 用x.x.x.x/x指定一个网络地址,如192.168.1.0/24这里的24表明了子网掩码的有效位数,这是 UNIX环境中通常使用的表示方法。
缺省的子网掩码数是32,也就是说指定192.168.1.1等效于192.168.1.1/32。
3. 指定网络接口
可以使用--in-interface/-i或--out-interface/-o来指定网络接口。从NAT的原理可以看出,对于PREROUTING链,我们只能用-i指定进来的网络接口;而对于POSTROUTING和OUTPUT我们只能用-o指定出去的网络接口。
-i:可以用于INPUT、FORWARD、PREROUTING链。
-o:可用于FORWARD、OUTPUT、POSTROUTING链。
4. 指定协议及端口
可以通过--protocol/-p选项来指定协议,如果是udp和tcp协议,还可--source-port/--sport和 --destination-port/--dport来指明端口。
5.
iptables -F -t nat:清除所有跟nat相关的规则
iptables -F:清除所有的规则。
iptables -X:清除指定的用户自定义chain。此时必须没有对该chain的引用。chain必须是空的,不包含任何规则。如果不给参数,就是删除所有table内非内置的规则。
iptables -Z:将所有chain的计数器清零。
iptables -P:为chain设置默认的target,可用的包括DROP和ACCEPT,这个target称为策略,所有不符合规则的包都被强制使用这个策略。
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
6、iptables中,目标规则REJECT和DROP的区别
DROP是丢弃,客户端得不到回应,REJECT拒绝并且返回包,客户端立即知道无法到达。
7、iptalbes不支持类似eth0:1这样的别名设备,可以尝试用别名设备的ip地址来进行控制。
标签: iptables
// 发贴者:放牛娃的春天 @ 十月 26, 2010 
订阅 博文 [Atom]