iptables命令使用基础(02)

一.iptables命令

规则:根据指定的匹配条件来尝试匹配每个流经此处的报文,一旦匹配成功,则由规则后面指定的处理动作进行处理;

匹配条件:分为基本匹配条件和扩展匹配条件,扩展匹配条件又分为隐式扩展和显式扩展;

基本匹配条件:源地址,目标地址,传输协议;

扩展匹配条件:需要借助于扩展模块进行指定的匹配条件;

隐式扩展:已经在基本匹配条件中指明的协议相关的扩展;

显式扩展:隐式扩展之外的其它扩展匹配条件;

处理动作:分为基本动作和扩展动作;

基本动作:ACCEPT,DROP,REJECT

扩展动作:需要借助于扩展模块进行,但无须显式指定,仅需指明动作;

二.添加规则需要思考的问题

(1) 报文流经的位置:用于判断将规则添加至哪个链;

(2) 实现的功能:用于判断将规则添加至哪个表;

(3) 报文的方向:用于判断哪个为“源”,哪个为“目标”;

(4) 匹配条件:用于编写能够正确匹配目标报文的规则;

三.iptables命令使用格式

iples [-t table] {-A|-C|-D} chain rule-specification

ip6tables [-t table] {-A|-C|-D} chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target

iptables [-t table] -E old-chain-name new-chain-name

rule-specification = [matches...] [target]

match = -m matchname [per-match-options]

target = -j targetname [per-target-options]tab

规则管理格式:iptables [-t table] COMMAND chain creteria [-m -m matchname[per-match-options]]  [-j targetname[per-target-options]]

-t table:指明要管理的表;默认为filter;

 COMMANDS:

 链管理:

     -P:iptables [-t table] -P chain target,定义链的默认策略;其target一般可使用ACCEPT或DROP;
     
     -N:iptables [-t table] -N chain,自定义规则链;仅在默认链通过某规则进行调用方可生效;因此,每个自定义链都有其引用记数;
     
     -X:iptables [-t table] -X [chain],删除自定义并且是空的引用计数为0的链;
     
     -F:iptables [-t table] -F [chain [rulenum]] [options...],清空指定的链,或删除指定链上的规则;
     
     -E:iptables [-t table] -E old-chain-name new-chain-name,重命名自定义的引用计数为0的链;
     
     -Z:iptables [-t table] -Z  [chain[rulenum]] [options...],将规则计数器置0;

规则

     -A:append, iptables [-t table] -A chain rule-specification,追加规则到指定的链尾部;
     
     -I:insert, iptables [-t table] -I chain [rulenum] rule-specification,插入规则到指定的链中的指定位置,默认为链首;
     
     -D:delete,iptables [-t table] -D chainrule-specification或iptables [-t table] -D chain rulenum,删除指定的链上的指定规则;
     
     -R:replace,iptables [-t table] -R chain rulenumrule-specification,将指定的链上的指定规则替换为新的规则;

  查看:

        -L:list, iptables [-t table] -L [chain [rulenum]] [options...]
                -n:数字格式;
                -v:verbose,详细格式信息;
                        -vv、-vvv,更详细格式信息
                   --line-numbers:显示链上的规则的编号;
                   -x:exactly,显示计数器的精确值; 
    显示出的结果有这么几个含义:
     pkts bytes target     prot opt in     out     source               destination
        pkts:被本规则所匹配到的的报文个数;
        bytes:被本规则所匹配到的报文的大小之和;
        target:处理目标(目标可以为用户自定义的链);
        prot:协议{tcp,udp,icmp}
        opt:可选项
        in:数据包流入接口        
        out:数据包流出接口
        source:源地址
        destination:目标地址

四.计数器

每条规则以及链的默认策略分别有各自的两个计数器:

(1) pkts:被本规则所匹配到的的报文个数;

(2) bytes:被本规则所匹配到的报文的大小之和;

五:保存及重载规则

centos6:

保存:

(1) service iptables save

/etc/sysconfig/iptables文件;

(2) iptables-save > /PATH/TO/SOMEFILE

重载:

(1) service iptables restart

(2) iptables-restore < /PATH/FROM/SOMEFILE

centos7:引入了新的iptables前端管理服务工具firewalld

firewalld通过前端管理工具:firewalld-cmd和firewalld-config,其功能更强大更完善,因此其规则会更复杂,为了保持了centos6上同样使用iptables来管理规则,先需要在centos7上关掉和禁用firewalld服务,方法如下:

(1) systemctl stop firewalld.service

(2) systemctl disable firewalld.service

时间: 2025-01-01 11:24:24

iptables命令使用基础(02)的相关文章

Linux命令工具基础02 文件及目录管理

文件及目录管理 文件管理不外乎文件或目录的创建.删除.查询.移动,有mkdir/rm/mv 文件查询是重点,用find来进行查询:find的参数丰富,也非常强大: 查看文件内容是个大的话题,文本的处理有太多的工具供我们使用,在本章中只是点到即止,后面会有专门的一章来介绍文本的处理工具: 有时候,需要给文件创建一个别名,我们需要用到ln,使用这个别名和使用原文件是相同的效果: 创建和删除 创建:mkdir 删除:rm 删除非空目录:rm -rf file目录 删除日志 $rm *log 等价: $

iptables命令提取总结&lt;取自朱双印博客&gt;

以下内容只是一些命令相关的,以朱双印博客中的iptables的教程提取出来的.纯粹只是命令的总结,如果需要看理论的知识,建议去看朱老师的博客,目前还没有看到写得比这个好的了. <http://www.zsythink.net/archives/category/%e8%bf%90%e7%bb%b4%e7%9b%b8%e5%85%b3/%e9%98%b2%e7%81%ab%e5%a2%99/> 看完朱老师的博客,理论上面是理解过了,但是一些命令的东西总是要返回去找,所以自已就提取了下一些命令,写

华为-命令行基础(一)

====================命令行基础===================== 设置时钟:<AR1>clock timezone BJ add 08:00:00<AR1>clock datetime 17:36 2016-10-22<AR1>display clock 2016-10-22 17:36:20SaturdayTime Zone(8) : UTC+08:00<AR1>clock timezone BJ add 08:00:00 &l

小白之Python-基础中的基础02

Python-基础中的基础02 继续整理笔记,反复练习!fighting! -----------------华丽的分界线-------------变量:第一次出现叫做定义变量,再次出现为为该变量赋值>>>money=3.5  #定义money变量>>>money=4.5 >>>money=3.5 #定义money变量 >>>money=4.5 #为money变量重新赋值 >>>print money #打印mone

iptables 命令

iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分.可以直接配置,也可以通过许多前端和图形界面配置. 语法 iptables (选项)(参数) 选项 -t<表>:指定要操纵的表:  -A:向规则链中添加条目:  -D:从规则链中删除条目:  -I:向规则链中插入条目:  -R:替换规则链中的条目:  -L:显示规则链中已有的条目:  -F:清楚规则链中已有的条目:  -Z:清空规则链中的数据包计算器和字节计数器:  -N:创建新的用户自定义规则链:  -P:定

Linux命令行基础 、 基础命令操作 、 目录文件基本操作

  Linux命令行基础 基础命令使用 目录和文件基本管理 #################################################   一.Linux命令行基础   1. 什么是命令.命令行    命令:能够被Linux系统识别,用来完成某一类功能的指令或程序                           |--> 依赖于Shell解释器,查看:cat/etc/shells 默认为 /bin/bash    命令行:用户输入的命令及相关参数,按Enter键提交的

cmd命令netsh基础教程

1.网络设置的备份与恢复 备份操作: netsh dump >bak12.txt 恢复操作: nesh exec bak12.txt 2.用命令改IP,如下: C:/>netsh (进入设置模式) netsh>interface interface>ip interface ip>set address "本地连接" static 10.1.1.111 255.255.255.0 10.1.1.254 interface ip>exit C:/>

Linux命令工具基础04 磁盘管理

Linux命令工具基础04 磁盘管理 日程磁盘管理中,我们最常用的有查看当前磁盘使用情况,查看当前目录所占大小,以及打包压缩与解压缩: 查看磁盘空间 查看磁盘空间利用大小 df -h -h: human缩写,以人类易读方式显示结果(既带单位:比如M/G,如果不加这个参数,显示的数字以B为单位) $df -h /opt/app/todeav/config#df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/VolGroup00-

java基础学习05(面向对象基础02)

面向对象基础02 实现的目标 1.String类的使用 2.掌握this关键字的使用3.掌握static关键字的使用 String类 实例化String对象一个字符串就是一个String类的匿名对象,就是已经开辟了堆内存空间的并可以直接使用的对象.1.采用直接赋值的方式进行操作. String name = "zhangsan"; 使用这种方式,如果一个字符串已经被一个名称所引用,则以后再有相同的字符串声明时,就不会再开辟内存空间.2.直接调用String类的构造方法(public S