iptables之iptables命令详解

#iptables [OPTION] COMMAND CHAIN 匹配标准 -j TARGET
    [OPTION]
        -t TABLENAME  不指定默认为filter
        -j 指定TARGET

COMMAND
        管理规则
            -A 在链的尾部添加一条规则
            -I  CHAIN [NUM] 在CHINA链上插入第NUM条规则,不指定NUM表示插入为第一条
            -D CHAIN [NUM] 删除CHAIN链上的第NUM条规则
            -R CHAIN [NUM] 替换CHAIN链上的第NUM条规则

管理链
            -F [CHAIN] flush 清空指定规则链,若不指定链,则删除对应表中的所有链
            -P CHAIN TAREGT 设置指定链的默认策略
            -N 自定义一条空链
            -X 删除自定义空链
            -Z 清空指定链中所有规则的计数器
            -E OLDCHAINNAME NEWCHAINNAME 重命名自定义链名

查看类
            -L list 显示指定表中的规则
            -n 以数字格式显示主机地址和端口号,否则默认iptables将反解主机名和端口
            -v 显示详细信息
            -x 显示计数器精确值,不做单位换换和圆整
            --line-numbers 显示规则号码
            
    CHAIN 链的名称

匹配标准
        注意:绝大部分匹配条件都可以取反,即使用!
        通用匹配
            -s,--scr 源地址
            -d,--dst 目的地址
            -p {tcp|udp|icmp} 协议类型
            -i INTERFACE 指定数据报文流入的接口
                只能定义在PREROUTING INPUT FORWARD链
            -o INTERFACE 指定数据报文流出的接口
                只能定义在POSTROUTING OUTPUT FORWARD链

扩展匹配
            隐含扩展
                -p PROTOCOL

PROTOCOL
                        tcp
                            --sport PORT[-PORT] 源端口,可以使用连续端口
                            --dport PORT[-PORT]  目标端口,可以使用连续端口
                            --tcp-flags  MASK COMP tcp标志位,指定MASK表中,查找COMP表中为1,其余为0的标记位。常用的标记位:SYN FIN ACK RST  ALL NONE
                            --syn 匹配3次握手中的第一次

udp
                            --sport
                            --dport

icmp
                            --icmp-type TYPE
                                TYPE
                                    0 ICMP响应报文
                                    8 ICMP请求报文

显示扩展 使用额外的匹配机制
                -m EXTESTION SPECIAL-OPTION

/lib/iptables/libpt_*.so 扩展模块

state 状态扩展,结合ip_conntrack追踪会话的状态
                             --state
                                NEW 发起的连接请求
                                ESTABLISHED 已建立的连接
                                INVALID 非法连接
                                RELATED 相关联的

multiport 离散的多端口匹配扩展,最多支持15个端口
                            --source-ports PORT,...PORT1:PORT2,... 源端口
                            --destination-ports PORT,...PORT1:PORT2,... 目的端口
                            --ports PORT,...PORT1:PORT2,... 端口

iprange 指定IPv4地址段
                            --src-range IP1-IP2
                            --dst-range  IP1-IP2

connlimit 连接数限制
                           --connlimit-above  NUM 指定每个客户端已存在的tcp连接个数超出NUM个

limit  令牌桶过滤器机制的流量整合,不控制最大上限,只控制单位时间内速率以及单位时间内峰值
                            --limit NUM/RATE 指定单位时间内的请求速率
                                RATE
                                    second
                                    minute
                                    hour       
                            --limit-burst NUM 单位时间内请求峰值,默认值为5

string 匹配符合某种模式的字符
                            --algo  bm|kmp 指定匹配算法
                            --string PATTERN 指定PATTERN
                            --hex-string PATTERN 把PATTERN变为16进制

recent 创建IP地址清单用于匹配
                            --set  添加报文源地址到清单,若源地址已存在则更新
                            --name NAME 创建一个名为NAME的清单,不指定NAME使用DEFAULT作为名称。
                            --update 更新源地址,但是不会更新”last seen“时间戳
                            --seconds NUM 匹配清单中存在的并且在过去NUM秒中出现的的地址。
                            --hitcount NUM 匹配清单中存在并且接收数据包大于或等于NUM次的地址

layer7 安装l7以后才能使用此扩展
                            --l7proto PROTOCOL  具体协议请参照/etc/l7-protocols下

time 重新编译内核后才有
                            --datestrat YYYY-MM-DDThh:mm:ss 不指定默认为1970-01-01
                            --datestop YYYY-MM-DDThh:mm:ss 不指定默认为2038-01-19

--timestart hh:mm:ss
                            --timestop hh:mm:ss

--montudayes DAY1,[DAY2...]
                                DAY取值为1-31
                            --weekdays  DAY1,[DAY2...]  
                                DAY取值为Mon Tue Wed Thu Fri  Sat Sun 或者1-7

TARGET 处理动作
        ACCEPT 允许
        DROP 丢弃
        REJECT 丢弃并返回信息
        REDIRECT 端口重定向
        RETURN 跳转回主链
        CHAINNAME 自定义链名成

LOG 记录日志
            --log_level NUM 日志级别
            --log_prefix “STRING” 日志前缀,最长29字符
            --log_tcp_sequence TCP序列号
            --log_tcp_options TCP报文选项
            --log_ip_options IP报文选项
            --log-uid  数据包对应进程的用户id

MARK 设定标记

SNAT 源地址转换
            --to-source  IP[-IP][:PORT1-PORT2] 指定把源地址转换为IP

DNAT 目标地址转换
            --to-destination  IP 指定把目标地址转换为IP

MASQUERADE 地址伪装
            类似与SNAT --to-source,适用于pppoe等源地址随时变动的情况,会自动指定地址。效率比SNAT低。

时间: 2024-10-10 16:46:47

iptables之iptables命令详解的相关文章

iptables防火墙相关命令详解

前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发. iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING.INPUT.OUTPUT. FORWARD.POSTROUTING,称为钩子函数,iptables这款用户空间的软件可以在这5处地方写规则,对经过的数据包进行处理,规则一般 的定义为"如果数据包头符合这样的条件,就这样处理

jar打包命令详解

:如何把 java 程序编译成 .exe 文件.通常回答只有两种,一种是说,制作一个可执行的 JAR 文件包,就可以像.chm 文档一样双击运行了:而另一种回答,则是使用 JET 来进行编译.但是 JET 是要用钱买的,而且,据说 JET 也不是能把所有的 Java 程序都编译成执行文件,性能也要打些折扣.所以,使用制作可执行 JAR 文件包的方法就是最佳选择了,何况它还能保持 Java 的跨平台特性.先来看看什么是 JAR 文件包: 1. JAR 文件包 JAR 文件就是 Java Archi

Linux压缩与解压缩命令详解

简介:常用的压缩命令有gzip.bzip2.tar 提示:gzip与bzip2工具不可以对目录做打包压缩操作,gzip与bzip2解压都是用-d参数(decompress=uncompress) tar命令详解: 用法:tar 模式 [选项][路径]... 模式:    -c 创建打包文件 -delete -r --append -t --list内容 -x --extract 选项:    -C --directory -f 打包后的文件名称 -j bzip格式压缩 --remove-file

(转)Linux下PS命令详解

(转)Linux下PS命令详解 整理自:http://blog.chinaunix.net/space.php?uid=20564848&do=blog&id=74654 要对系统中进程进行监测控制,查看状态,内存,CPU的使用情况,使用命令:/bin/ps (1) ps :是显示瞬间进程的状态,并不动态连续: (2) top:如果想对进程运行时间监控,应该用 top 命令: (3) kill 用于杀死进程或者给进程发送信号: (4) 查看文章最后的man手册,可以查看ps的每项输出的含义

Linux上的free命令详解

Linux上的free命令详解 转自: http://www.cnblogs.com/coldplayerest/archive/2010/02/20/1669949.html 解释一下Linux上free命令的输出. 下面是free的运行结果,一共有4行.为了方便说明,我加上了列号.这样可以把free的输出看成一个二维数组FO(Free Output).例如: FO[2][1] = 24677460 FO[3][2] = 10321516 1          2          3    

Find命令详解

find命令详解 格式 find pathname -options [ -print -exec -ok ... ] 功能 在磁盘中查找文件,并作相应处理 参数 pathname         所查找的目录,可以是相对/绝对路径 options -print 将结果输出到标准输出 -exec 'command' {} \; 对结果执行该参数所给的shell命令 -ok 与-exec作用相同,不过需要用户确认是否执行命令 -name 按照文件名查找 -perm [+-]mode 按照文件权限查

iftop命令命令详解

iftop命令命令详解 作者:尹正杰 在Linux命令中有很多内置命令,和外置命令,但是内部命令的功能毕竟是有限的,比如ifconfig,它就不能看到网卡流量的 实时发送情况,尽管咱们知道可以用watch命令去查看网卡的发送接收流量的情况,但是还是不够细致,因为它仅仅能看到我们的 接受和发送的总流量,因此,我们今天来介绍一个比较好使的实施查看网络流量信息的软件---iftop,其实他的工作模式和top很像. 废话不多说~让我们直接进入正题吧: 1.想必大家都会在linux命令行上敲击ifconf

linux yum命令详解

yum(全称为 Yellow dog Updater, Modified)是一个在Fedora和RedHat以及SUSE中的Shell前端软件包管理器.基於RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软体包,无须繁琐地一次次下载.安装.yum提供了查找.安装.删除某一个.一组甚至全部软件包的命令,而且命令简洁而又好记. yum的命令形式一般是如下:yum [options] [command] [package ...]其中的[opti

Linux上命令的使用格式和基础命令详解

一.Linux上命令的使用格式 命令行提示符详解: 用户通过终端的命令行接口来控制操作系统,登陆后如下: [[email protected] ~]# root: 当前登录的用户 @:分隔符 localhost: 当前主机的主机名,非完整格式:此处的完整格式为:localhost.localdomain [[email protected] ~]# hostname localhost.localdomain ~:用户当前所在的目录(current directory),也称为工作目录(work

scp命令详解

先说下常用的情况: 两台机器IP分别为:A.104.238.161.75,B.43.224.34.73. 在A服务器上操作,将B服务器上/home/lk/目录下所有的文件全部复制到本地的/root目录下,命令为:scp -r [email protected]:/home/lk /root. 具体过程为: [[email protected] ~]# scp -r [email protected]43.224.34.73:/home/lk /root [email protected]43.2