ptables简单教程

hti

【概述】
netfilter/iptables是linux系统自带的免费防火墙，能够实现防火墙、NAT（网络地址翻译）和数据包分割功能
netfilter工作在内核层，iptables工作在用户层，可以方便用户定义规则集的表结构。




【iptables选项介绍】
   netfilter的用户控制命令是iptables，通过iptables建立适当的规则添加到内核中实现信息数据包的过滤。
   iptables的一般语法如下：
   iptalbes [-t table] command [match] [target]
   一条iptables规则包含4个基本元素，
  1）表（table）
    [-t table] 选项允许使用标准表之外的任何表。有三种可以使用的表选项：filter、nat和mangle。


  2）命令（command）
    command部分是iptables命令的最重要部分，它告诉iptables命令要做什么，例如，插入规则、将规则添加到
    链的末尾或删除规则。主要有如表1所示的命令。
         
    表1 iptables常用命令
    -A或--append        该命令将一条规则附加到链的末尾
    -D或--delete        通过用-D指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除该规则
    -P或--policy        该命令设置链的默认目标，即策略。所有与链中任何规则都不匹配的信息包都将被强制使
                        用此链的策略
    -N或--new-chain     用命令中所指定的名称创建一个新链
    -F或--flush         如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所
                        有规则。此参数用于快速清除
    -L或--list          列出指定链中的所有规则
    -R或--replace       替换指定链中一条匹配的规则
    -X或--delete-chain  删除指定用户的的定义链，若没有指定链，则删除所有的用户链
    -C或--check         检查数据包是否与指定链的规则相匹配
    -Z或--zero          将指定链中所有规则的byte计数器清零


  3）匹配（match）
    iptables命令的可选match部分指定信息包与规则匹配所应具有的特征（如源和目的地地址、协议等）。匹配分为
    两大类：通用匹配和特定于协议的匹配。这里，将研究可用于采用任何协议的信息包的通用匹配。下面是一些重
    要的且常用的通用匹配及其说明，如表2所示。

    表2 通用匹配说明


    通用匹配                说    明
    -p或--protocol       该通用协议匹配用于检查某些特定协议。协议示例有TCP、UDP、ICMP、用逗号分隔的任何这三
                               种协议的组合列表以及ALL（用于所有协议）ALL是默认匹配。可以使用!符号表示不与该项匹配
    -s 或 --source       该源匹配用于根据信息包的源IP地址来与它们匹配。该匹配还允许对某一范围内的IP地址进行匹
                               配，可以使用!符号，表示不与该项匹配。默认源匹配与所有IP地址匹配
    -d 或 --destination  该目的地匹配用于根据信息包的目的地IP地址来与它们匹配。该匹配还允许对某一范围内IP
                                 地址进行匹配，可以使用!符号表示不与该项匹配
    --sport                  指定匹配规则的源端口或端口范围
    --dport                  指定匹配规则的目的端口或端口范围
    -i                         匹配单独的网络接口或某种类型的接口设置过滤规则




  4）目标（target）
    前面已经讲过，目标是由规则指定的操作，对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之
    外，还有许多可用的目标选项。下面是常用的一些目标及其示例和说明，如表3所示。


    表3 目标项说明


    目 标 项       说    明
    ACCEPT       当信息包与具有ACCEPT目标的规则完全匹配时，会被接受（允许它前往目的地）
    DROP         当信息包与具有DROP目标的规则完全匹配时，会阻塞该信息包，并且不对它做进一步处理。该目标被
                 指定为-j DROP
    REJECT       该目标的工作方式与DROP目标相同，但它比DROP好。和DROP不同，REJECT不会在服务器和客户机上
                 留下死套接字。另外，REJECT将错误消息发回给信息包的发送方。该目标被指定为-j REJECT
    RETURN       在规则中设置的RETURN目标让与该规则匹配的信息包停止遍历包含该规则的链。如果链是如INPUT之
                 类的主链，则使用该链的默认策略处理信息包。它被指定为-jump RETURN
    LOG          表示将包的有关信息记录入日志
    TOS          表示改写数据包的TOS值


【iptables使用实例】
  实际使用规则如下：
  只允许某个ip访问某个端口
  #iptables -A INPUT -p tcp -s 61.145.251.36 --dport 16322 -j ACCEPT
  -A      在INPUT链中增加，
  -p      表示协议
  -s      表示源地址
  --dport 表示目的端口
  -j      目标操作
  其他的ip都拒绝
  #iptables -A INPUT -p tcp  --dport 16322 -j REJECT
  删除一条规则（删除INPUT链中第一条规则，具体可以man iptables）
  #iptalbes -D INPUT 1
  插入一条规则（插入到INPUT链中第二条规则）
  #iptables -I INPUT 2 -p tcp -s 61.145.251.63 --dport 16322 -j ACCEPT
  限制某个网口的访问（eth0 的端口访问插入一条规则）
  #iptables -I INPUT 3 -p tcp -s 61.145.251.66 -i eth0 --dport 16322 -j ACCEPT
  #iptables -I INPUT 4 -p udp -s 61.145.251.66 -i eth0 --dport 16322 -j ACCEPT
  限制某个网段的访问
  #iptables -I INPUT 5 -p tcp -s 192.168.0.0/16 -i eth1  --dport 3306 -j REJECT
  对于iptables的一些其他选项可以查看使用手册：man iptables

  和iptables并行的还有iptables-save和iptables-restore命令，分别用来保存和恢复规则
  保存规则到iptables-save.txt
  #iptables-save > iptables-save.txt
  从保存文件中恢复
  #iptables-restore < iptables-save.txt
  对于已经含有规则的表格，可以先iptables-save，然后做修改，最后再iptables-restore。

5imobi

睡眠是一门艺术——谁也无法阻挡我追求艺术的脚步！

xuke123

花前月下，不如花钱“日”下!*^_^*

sakko51150

解释就是掩饰，掩饰就是编故事!

色胃康胶囊

生我之前谁是我，生我之后我是谁？

coverl

学海无涯，回头是岸!

julley

看尽天下A片，心中自然无码～