iptables语法.pptx

iptables语法? 一、iptables命令格式（较为复杂）iptables [-t?? table]???command?? [chain]??? [rules] ?? [-j?? target]（1）table -------指定表名（raw表、mangle表、nat表、filter表）（2）command ------- 对链的操作命令（-A：追加规则（最下面进行追加规则）、-I：插入（一般在相应的哪条规则前后插入））（3）chain -------链名（prerouting链、forward链、input链、output链、postouting链）（4）rules -------规则（5）target -------动作如何进行?iptables [-t tables] [-L] [-vn] [-FXZ]??-v : 显示更多的信息-n : 输出结果用IP表示，显示速度或更快root@user-desktop:~# iptables -t filter -L -nChain INPUT (policy ACCEPT)targetprot opt source?????????????? destinationnewfilterchain all? --? 0.0.0.0/0??????????? 0.0.0.0/0Chain FORWARD (policy ACCEPT)targetprot opt source?????????????? destinationChain OUTPUT (policy ACCEPT)targetprot opt source?????????????? destinationChain newfilterchain (1 references)targetprot opt source?????????????? destination?其中：括号中的policy为预设规则，没有匹配的就执行预设规则。上面references所在的链为新增的链: iptables -t filter -N newfilterchain iptables -t filter -A INPUT -j newfilterchain1、表选项（table）?表选项用于指定命令应用于哪个iptables内置表，iptables内置包括：filter表、nat表、mangle表和raw表使用的参数为： -t? +? 表名，如果不使用-t参数，那么默认是使用filter表INPUT:主要所对外部数据包进入Linux系统进行信息过滤OUTPUT：主要是对内部Linux系统所要发送的数据包进行信息过滤FORWARD：将外面过来的数据包传递到内部计算机中PREROUTING：是在数据包刚刚到达防火墙时，根据需要改变它的目标地址POSTOUTING：在包就要离开防火墙之前改变其源地址二、iptables的语法1．定义默认策略1）作用：当数据包不符合链中任一条规则时，iptables将根据该链预先定义的默认策略来处理数据包2）默认策略的定义格式：iptables?[-t?表名]-P?链名?动作参数说明如下：（1）[-t表名]指默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表（2）-P定义默认策略（3）链名指默认策略将应用于哪个链，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING（4）动作处理数据包的动作，可以使用ACCEPT（接受数据包）和DROP（丢弃数据包）?2．查看iptables规则?查看iptables规则的命令格式为：iptables?[-t ?表名]-L?[链名]参数说明如下：（1）[-t?表名]指查看哪个表的规则列表，表名用可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认查看filter表的规则列表（2）-L查看指定表和指定链的规则列表（3）[链名]指查看指定表中哪个链的规则列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING，如果不指明哪个链，则将查看某个表中所有链的规则列表3．增加、插入、删除、替换iptables规则?相关规则定义的格式为：iptables [-t表名]? -A | I | D | R?链名 ?[规则编号] ?[-i | o网卡名称] ?[-p协议类型] ?[-s源IP地址|源子网] ?[--sport源端口号] ?[-d目标IP地址|目标子网] ?[--dport目标端口号] ?-j动作 例如：iptables -t? filter?