iptables - IP包过滤器管理
iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改] iptables - RI iptables -D chain rule num[option] iptables -LFZ 链名 [选项] iptables -[NX] 指定链 iptables -P chain target[options] iptables -E old-chain-name new-chain-name
说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。可以定义不同的表, 每个表都包含几个内部的链,也能包含用户定义的链。 每个链都是一个规则列表, 对对应的包进行匹配:每条规则指定应当如何处 理与之相匹配的包。这被称作'target'(目标), 也可以跳向同一个表内的用 户定义的链。
TARGETS
防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中 下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是 用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队],或者 RETURN[返回]。
ACCEPT
表示让这个包通过。
DROP
表示将这个包丢弃。
QUEUE
表示把这个包传递到用户空间。
RETURN
表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的
链(的末端),或者遇到内建链的规则是 RETURN,包的命运将由链准则指定的
目标决定。
[[ ]]
TABLES
当前有三个表(哪个表是当前表取决于内核配置选项和当前模块)。
-
-t table
-
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块,这时 若模块没有加载,(系统)将尝试(为该表)加载适合的模块。
这些表如下:
-
filter
-
,这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWORD(处理通 过的包)和OUTPUT(处理本地生成的包)。
-
nat
-
这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:PREROUTING
(修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING
(修改准备出去的包)。 -
mangle
-
这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路由之
前进入的包)和OUTPUT(修改路由之前本地的包)。
查看iptables的三张表
iptables -t filter -nvL
iptables -t nat -nvL
iptables -t mangle -nvL
iptables -nvL
推荐文章
http://www.linuxso.com/linuxpeixun/10332.html
本文转自 a928154159 51CTO博客,原文链接:http://blog.51cto.com/zhibeiwang/1830571
