iptables -V : 查看版本
-h : 查看帮助
-v 显示链名 --verbose 与-L一起使用
-n: 数字显示, (ip地址)
-L: 列表显示 (显示默认filter表)
-x : 显示数字
-t : 指定应用表名
-P : 定义默认的策略 --policy 链名>
-A : 在规则列表最后添加一条规则 --addpend 链名>
-I : 在指定的位置插入一条规则 --insert 链名>
-R : 替换规则列表中的某条规则 --replace 链名>
-D : 删除规则列表中的1条规则 --delete
-i : 指定数据包从哪个接口进入 --in interface 网络接口
eth+ 表示所有的
!eth0反向对比
-o : 指定数据包从哪个接口输出 --out interface 网络接口
-p : 指定数据包匹配协议类型 --proto
all 比对所有类型
!tcp 反向对比
-p tcp --tcp-flags SYN,FIN,ACK
SYN 比对 TCP
封包的状态标志号
TCP
状态标志号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)PSH 强迫推送
eth+ 表示所有的
-s : 指定数据包匹配的源地址 --source 源地址或子网>
-d : 指定数据包的目的地址 --dst, --destination
--sport : 源端口号> 指定数据包匹配的源端口号
--sport 22:80 22到80之间
!22 反向对比运算
--dport : 目的端口号> 指定数据包匹配的目的端口号
-m multiport --source-port: 用来比对不连续的多个来源端口号,一次最多可以比对 15 个端口,可以使用 ! 运算子进行反向比对。
-m multiport --destination-port:用来比对不连续的多个目的地端口号
-m multiport --port:这个参数比较特殊,用来比对来源端口号和目的端口号相同的数据包
-m limit --limit:用来比对某段时间内数据包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次3个数据包。
除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、
/minute、/day。
除了进行数据包数量的比对外,设定这个参数也会在条件达成时,暂停数据包的比对动作,以避免因洪水攻击法,导致服务被阻断。
--limit-burst:用来比对瞬间大量封包的数量,,超过此上限(默认5)将被直接丢弃。使用效果同上。
-m --match: 匹配的模块>指定数据包规则所使用的过滤模块
-N : 定义新的规则链 --new-chain
-E : 修改某自订规则链的名称 --rename-chain
-X : 删除自定义链 --delete-chain链名>
-F : 删除表中所有规则 --flush 链名>
-Z : 将表中数据包计数器和流量计数器归0 --zero