IP6tables使用方法.doc

IP6tables使用方法 （man手册） 名称 ip6tables – Ipv6包过滤管理 摘要 ip6tables [-t table] –[AD] chain rule-specification [options] ip6tables [-t table] –I chain [rulenum] rule-specification [options] ip6tables [-t table] –R chain rulenum rule-specification [options] ip6tables [-t table] –D chain rulenum [options] ip6tables [-t table] –[LFZ] [chain] [options] ip6tables [-t table] –N chain ip6tables [-t table] –X [chain] ip6tables [-t table] –P chain target [options] ip6tables [-t table] –E old-chain-name new-chain-name 描述 ip6tables通常是用来建立、维护、检查linux内核IPv6包过滤表的。可能定义了几个不同的表。每个表都包含了一些内置的链和用户定义的链。 每个链都是匹配一组包的规则的列表。每个规则都说明了如何匹配一个包。这是一个target的调用，这个target在相同的表中或许会跳转到用户定义的链。 目的 防火墙规则说明了包的规则和目标。如果一个包没有匹配，用链中的下一个规则检查；如果不匹配，下一个规则用target的值说明，target的值可能命名了一条用户定义的链，或者指定了ACCEPT、DROP、QUEUE或RETURN值中的一个。 ACCEPT意思是让包通过，DROP的意思是在底层把包丢弃。QUEUE的意思是把传送到用户空间。RETURN的意思是停止正在遍历的链，返回先前链的下一个规则。如果到达内置链的最后或者匹配上了带RETURN值的target内置链的规则，被链策略指定的target决定了包的命运。 表 目前有两个独立的用于nat的表没有实现。 -t，--table 表名 该选项指出包匹配的表名，该表就是命令操作的那个表。如果内核被配置为自动加载模块，如果这个表不存在，内核就要加载对应于这个表的模块。有如下表： filter：如果没有-t 选项，该表是默认的表。它包含了内置的链INPUT（用于进入防火墙的包）、FORWARD（用于经防火墙转发的包）和OUTPUT（防火墙本地生成的包） mangle：这个表专门用于包的变化。包含了五个表，INPUT（用于进入防火墙的包）、PREROUTING（用于进入防火墙路由之前变化的包）、OUTPUT（用于本地生成的路由之前变更的包）、FORWARD（用于通过防火墙路由的变更的包）、POSTROUTING（用于差不多要发送出去的变更的包） raw：该表主要用于配置了NOTRACK的target的免于连接跟踪的情况。在调用nf_conntrack之前以最高优先级注册到netfilter的hooks点上。提供了两个内置的链PREROUTING（用于经过一些网络接口到达的包）和OUTPUT（用于本地进程生成的包） 选项 ip6tables的选项分为以下几个组： 命令组 这个选项指定了要执行的明确的动作。在命令行中只能指定一个，除非有其他规定。 -A，--append chain rule-specification 在选中的链后增加一条或多条规则。当源和/或目的代表了不止一个地址，规 则要增加到每一个可能的地址上。 -D，--delete chain rule-specification -D，--delete chain rulenum 从选中的链中删除一条或多条规则。有两个版本命令可用：可以指定在链中规 则的号码，也可以指定匹配的规则。 -I，--insert 在选中的链中按照给出的规则号码插入一条或多条规则。如果没有规则号码指 定，默认值为1。插入到链的头部。 -R，--replace chain rulenum rule-specification 在指定的链中替换一条规则。如果源和/或目的代表了多个地址，命令失败。 规则号码从1开始。 -L，--list [chain] 列出所有指定链的规则，如果没有指定链，列出所有链的规则。像其他的每一 个命令一样，必须指定应用的表（filter是默认的），因此mangle表的规则通 过命令ip6tables –t mangle –n –L 来显示。-n选项避免长反向DNS查找。-Z选 项将列出