<
ipaddr
>
[-<
ipaddr
>
][:port-port]
可以指定乙個單一的新的ip位址,乙個ip位址範圍,也可以附加乙個埠範圍(只能在指定-p tcp 或者-p udp的規則裡)。如果未指定埠範圍,源埠中512以下的(埠)會被安置為其他的512以下的埠;512到1024之間的埠會被安置為1024以下的,其他埠會被安置為1024或以上。如果可能,埠不會被修改。
--to-destiontion
<
ipaddr
>
[-<
ipaddr
>
][:port-port]
可以指定乙個單一的新的ip位址,乙個ip位址範圍,也可以附加乙個埠範圍(只能在指定-p tcp 或者-p udp的規則裡)。如果未指定埠範圍,目標埠不會被修改。
masquerade
只用於nat表的postrouting鏈。只能用於動態獲取ip(撥號)連線:如果你擁有靜態ip位址,你要用snat。偽裝相當於給包發出時所經過介面的ip位址設定乙個映像,當介面關閉連線會終止。這是因為當下一次撥號時未必是相同的介面位址(以後所有建立的連線都將關閉)。它有乙個選項:
--to-ports
<
port
>
[-port>]
指定使用的源埠範圍,覆蓋預設的snat源位址選擇(見上面)。這個選項只適用於指定了-p tcp或者-p udp的規則。
redirect
只適用於nat表的prerouting和output鏈,和只呼叫它們的使用者自定義鏈。它修改包的目標ip位址來傳送包到機器自身(本地生成的包被安置為位址127.0.0.1)。它包含乙個選項:
--to-ports
<
port
>
[<
port
>
]指定使用的目的埠或埠範圍:不指定的話,目標埠不會被修改。只能用於指定了-p tcp 或 -p udp的規則。
diagnostics
診斷不同的錯誤資訊會列印成標準錯誤:退出**0表示正確。類似於不對的或者濫用的命令列引數錯誤會返回錯誤**2,其他錯誤返回**為1。
bugs
臭蟲check is not implemented (yet).
檢查還未完成。
compatibility with ipchains
與ipchains的相容性
iptables和rusty russell的ipchains非常相似。主要區別是input 鏈只用於進入本地主機的包,而output只用於自本地主機生成的包。因此每個包只經過三個鏈的乙個;以前**的包會經過所有三個鏈。其他主要區別是 -i 引用進入介面;-o引用輸出介面,兩者都適用於進入forward鏈的包。當和可選擴充套件模組一起使用預設過濾器表時,iptables是乙個純粹的包過濾器。這能大大減少以前對ip偽裝和包過濾結合使用的混淆,所以以下選項作了不同的處理:
-j masq
-m -s
-m -l
在iptables中有幾個不同的鏈。
Linux iptables規則詳解
filter input drop 345 43237 forward accept 0 0 output accept 306 41346 ainput p tcp m tcp dport 10022 j accept ainput p tcp m tcp dport 80 j accept ai...
Linux iptables基本管理
1.iptables基本管理 問題本案例要求熟悉iptables工具的基本管理,分別練習以下幾方面的操作 檢視當前生效的防火牆規則列表 追加 插入新的防火牆規則,修改現有的防火牆規則 刪除 清空指定的防火牆規則 方案採用兩台rhel6虛擬機器,在其中svr5上配置iptables防火牆規則,pc20...
Linux iptables使用例項
1.使區域網使用者可共享外網 撥號上網 echo 1 proc sys net ipv4 ip forward iptables t nat a postrouting o ppp0 j masquerade iptables t nat a postrouting s 192.168.1.0 24...