1
、鏈的基本操作
(1)清除所有規則
1)清除預設表
filter
中所有規則鏈中的規則
# iptables –f
2) 清除預設表
filter
中使用者自定鏈中的規則
# iptables –x
3)將指定鏈中所有規則的包位元組計數器清零
# iptables –z
(2)設定鏈的預設策略
1)先允許,再禁止
用下面的命令初始化
# iptables –p input accept
# iptables –p output accept
# iptables –p forward accept
2)先禁止,再允許
用下面的命令初始化
# iptables –p input drop
# iptables –p output drop
# iptables –p forward drop
(3)列出表
/鏈中的所有規則
# iptables –l –n
(4)向鏈中新增規則。下面的語句用於開放網路介面
# iptables –a input –i lo –j accept
# iptables –a output –o lo –j accept
# iptables –a input –i eth0 –j accept
# iptables –a output –o eth0 –j accept
# iptables –a forward –i eth0 –j accept
# iptables –a forward –o eth0 –j accept
(5)使用使用者自定義鏈
# iptables –n custom
# iptables –a custom –s 0/0 –d 0/0 –p icmp –j drop
# iptables –a input –s 0/0 –d 0/0 –j custom 2
、設定基本的規則匹配(忽略目標動作)
(1)指定協議匹配
1)匹配指定的協議
# iptables –a input –p tcp
2)匹配指定協議之外的所有協議
# iptables –a input –p ! tcp
(2)指定位址匹配
1)指定匹配的主機
# iptables –a input –s 192.168.0.1
2)指定匹配的網路
# iptables –a input –s 192.168.0.0/24
3)匹配指定主機之外的位址
# iptables –a input –s ! 192.168.0.1
4)匹配指定網路之外的網路
# iptables –a input –s ! 192.168.0.1/24
(3)指定網路介面匹配
1)指定單一的網路介面匹配
# iptables –a input –i eth0
# iptables –a forward –o eth0
2)指定同型別的網路介面匹配
# iptables –a forward –o ppp+
(4)指定埠匹配
1)指定單一的埠匹配
# iptables –a input –p tcp –sport wwww
# iptables –a input –p tcp –sport 80
# iptables –a input –p udp –sport 53
# iptables –a input –p udp –dport 53
2)匹配指定埠之外的埠
# iptables –a input –p tcp –dport !22
3)匹配指定的埠範圍
# ipbables –a input –p tcp –sport 22:80
4)匹配
icmp
埠和icmp 型別
# iptables –a input –p icmp-type 8
(5)指定ip碎片
# iptables –a forward –p tcp –s 192.168.0.0/24 –d 192.168.2.100 –dport 80 –f accept
# iptables –a forward –f –s 192.168.0.0/24 –d 192.168.2.100 –j accept 3
、設定擴充套件的規則匹配(忽略目標動作) (
1)多埠匹配擴充套件
1)匹配多個源埠
# iptables –a input –p tcp –m multiport –source-port 22,53,80,110
2)匹配多個目的埠
# iptables –a input –p tcp –m multiport –destination-port 22,53,80,110
3)匹配多個埠
# iptables –a input –p tcp –m multiport –prot 22,53,80,110
(2)指定
tcp匹配擴充套件
通過使用
--tcp-flags
選項可以根據
tcp包的標誌位進行過濾,第乙個引數為要檢查的標誌位;第二個引數是標誌位為
1的標誌
# iptables –a input –p tcp --tcp-flags syn,fin,ack syn
# iptables –p tcp --syn
表示syn、
ack、
fin的標誌都要檢查,但是只有設定了
syn的才匹配
# iptables –a input –p tcp --tcp-flags all syn,ack
表示all(
syn,
ack,
fin,
rst,
usg,
psh)的標誌都要檢查,但是只有設定了
syn和
ack的才匹配
(3)limit
速率匹配擴充套件
1)指定單位時間內允許通過的資料報個數
# iptables –a input –m limit --limit 300/hour
表示限制每小時允許通過
300個資料報
2)指定觸發事件的閥值(預設值是5)
# iptables –a input –m limit --limit-burst 10
表示一次湧入的封包超過
10個將被直接丟棄
3)同時指定速率限制和觸發閥值
# iptables –a input –p icmp –m limit –limit 3/m –limit-burst 3
Iptables 命令使用舉例
iptables 命令使用舉例 1 鏈的基本操作 1 清除所有規則 1 清除預設表 filter 中所有規則鏈中的規則 iptables f 2 清除預設表 filter 中使用者自定鏈中的規則 iptables x 3 將指定鏈中所有規則的包位元組計數器清零 iptables z 2 設定鏈的預設...
Iptables命令使用舉例
iptables 命令使用舉例 1 鏈的基本操作 1 清除所有規則 1 清除預設表 filter 中所有規則鏈中的規則 iptables f 2 清除預設表 filter 中使用者自定鏈中的規則 iptables x 3 將指定鏈中所有規則的包位元組計數器清零 iptables z 2 設定鏈的預設...
iptables 基本命令使用舉例
一 鏈的基本操作 1 清除所有的規則。1 清除預設表filter中所有規則鏈中的規則。iptables f 2 清除預設表filter中使用者自定鏈中的規則。iptables x iptables z 2 設定鏈的預設策略。一般有兩種方法。1 首先允許所有的包,然後再禁止有危險的包通過放火牆。ipt...