iptabels
[root@www ~]# iptables [-ai鏈名] [-io網路介面] [-p協定] \
> [-s**ip/網域] [-d目標ip/網域] -j [accept |drop|reject|log]
選項與引數:
-ai 鏈名:針對某的鏈進行規則的"插入" 或"累加"
-a :新增加一條規則,該規則增加在原本規則的最後面。例如原本已經有四條規則,
使用-a 就可以加上第五條規則!
-i :插入一條規則。如果沒有指定此規則的順序,預設是插入變成第一條規則。
例如原本有四條規則,使用-i 則該規則變成第一條,而原本四條變成2~5 號
鏈:有input, output, forward 等,此鏈名稱又與-io 有關,請看底下。
-io 網路介面:設定封包進出的介面規範
-i :封包所進入的那個網路介面,例如eth0, lo 等介面。需與input 鏈配合;
-o :封包所傳出的那個網路介面,需與output 鏈配合;
-p 協定:設定此規則適用於哪種封包格式
主要的封包格式有: tcp, udp, icmp 及all 。
ip :192.168.0.100
網域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。
若規範為『不許』時,則加上! 即可,例如:
-s ! 192.168.100.0/24 表示不許192.168.100.0/24 之封包**;
-d 目標ip/網域:同-s ,只不過這裡指的是目標的ip 或網域。
-j :後面接動作,主要的動作有接受(accept)、丟棄(drop)、拒絕(reject)及記錄(log)
範例:只要是來自內網的(192.168.100.0/24)的封包通通接受
[root@www ~]# iptables -a input -i eth1 -s 192.168.100.0/24 -j accept
#由於是內網就接受,因此也可以稱之為『信任網域』囉。
[root@www ~]# iptables [-ai鏈] [-io網路介面] [-p tcp,udp] \
> [-s**ip/網域] [--sport埠口範圍] \
> [- d目標ip/網域] [--dport埠口範圍] -j [accept|drop|reject]
選項與引數:
--dport 埠口範圍:限制目標的埠口號碼。
iptables -i input -p tcp --dport 8099 -j accept範例:想要連線進入本機port 21的封包都抵擋掉:
[root@www ~]# iptables -a input -i eth0 -p tcp --dport 21 -j drop
範例:想連到我這部主機的網芳(upd port 137,138 tcp port 139,445)就放行
[root@www ~]# iptables -a input -i eth0 -p udp --dport 137:138 -j accept
[root @www ~]# iptables -a input -i eth0 -p tcp --dport 139 -j accept
[root@www ~]# iptables -a input -i eth0 -p tcp --dport 445 -j accept
iptables引數詳解
一 iptables 主要引數 a 新增規則到鍊錶末尾 i 新增規則到首部 t 操作的表,後面加表名,不加這個引數預設操作表為filter d 刪除表中規則,可以指定序列號或者匹配的規則來刪除 iptables t nat d prerouting 1 f 清空規則,重啟後恢復 iptables f...
iptables入門詳解
linux的防火牆體系主要工作在網路層,針對tcp ip資料報實施過濾和限制,屬於典型的包過濾防火牆 或稱網路層防火牆 iptables是乙個命令列防火牆實用程式,它使用策略鏈來允許或阻止通訊。當連線試圖在你的系統上建立自己時,iptables在它的列表中尋找一條規則來匹配它。如果找不到,則採取預設...
iptables引數詳解
一 limit 速率限制 m limit 說明 limit 1000 s 設定最大平均匹配速率 limit 5 m limit burst 15 表示一開始能匹配的資料報數量為15個,每匹配到乙個,limit burst的值減1,所以匹配到15個時,該值為0,每過12s,limit burst的值會...