第五部分iptables的使用.docxVIP

第五部分 iptables的使用3.1 iptables的命令格式iptables用于创建、维护和检查Linux内核的IP包过滤规则，利用该命令可创建、删除或更名链，在链中创建或删除规则，设置链的策略等，功能很强大，用法也比较多，其命令基本格式为：iptables [-t 表名] 命令选项 [链] [匹配选项] [操作选项]1. 表名选项“-t　表名”用来选择要操作的表，表名可以是 filter，nat，mangle三者之一，如该参数缺省则默认为filter表。2. 命令选项命令选项用来指定对链或规则的操作，包括插入、删除、添加规则等。 iptables的主要命令选项如表3-1所示。表3-1 iptables的主要命令选项3. 链名选项“链”指定要操作的链名，除使用系统定义的链名外，用户也可自定义链名。4. 匹配选项匹配选项指定数据包与规则匹配所应具有的特征，包括源地址、目的地址、传输协议和端口号等。主要的匹配选项如表3-2所示。表3-2 iptables的主要匹配选项5. 操作选项操作选项用于指定对匹配过滤规则的数据包所进行的处理。其形式为“-j target/jump”，其中“target”是对包的处理动作，“jump”代表一个用户自定义的链名，用于跳转到该链进行规则检查。对数据常用的处理动作如表3-3所示。表3-3 iptables的主要目标动作选项3.2 iptables命令的使用1. 对链的操作（1）查看链命令用法：iptables -L [链]命令功能：列出指定表的全部链及其规则例:列出filter表的全部规则链。[root@local ~]# iptables -L 若要列出nat表的全部规则链，则操作命令为：[root@local ~]# iptables -t nat -L（2）创建新链命令用法：iptables -N 链名命令功能：以指定的名称创建一个新链例:创建一个名为mychain的新链。[root@local ~]# iptables -N　mychain（3）删除链命令用法：iptables -X 链名命令功能：删除指定的用户自定义链例:删除新建的mychain链。[root@local ~]# iptables -X　mychain2. 对规则的操作（1）添加规则 命令用法：iptables　[-t 表名] -A 链名　匹配选项　-j　动作 命令功能：向指定链的添加一条规则，该规则将会增加到规则列表的最后一行。 例:向filter表的INPUT链添加一条规则，将来自IP地址为这台主机的数据包都丢弃。 [root@local ~]# iptables -t filter -A INPUT -s -j DROP[root@local ~]# iptables -t filter -L INPUT（2）插入规则命令用法：iptables　[-t 表名] -I 链名　规则号　匹配选项　-j　动作 命令功能：在指定的规则号的前面插入一条规则，原规则将自动后移。若未指定规则号，则默认为1，即插入在所有规则的前面。 例:在第3条规则前插入一条规则，其内容是禁止子网段的所有用户访问本机TCP协议的80端口。[root@local ~]# iptables -I INPUT 3 -s /24 -p tcp --dport 80 –j DROP[root@local ~]# iptables -L INPUT例:在第4条规则前插入一条规则，拒绝所有主机PING本机。[root@local ~]# iptables –I INPUT 4 –s 0/0　－p icmp --icmp-type echo-request –j DROP[root@local ~]# iptables -L INPUTChain INPUT (policy ACCEPT)targetprot opt source destinationRH-Firewall-1-INPUT all -- anywhereanywhereDROPall -- anywhereDROPtcp -- /24 anywheretcp dpt:httpDROPicmp -- anywhere anywhere icmp echo-requestACCEPTall -- anywhere 在该命令中，“-s 0/0”用于指定源地址为所有主机，“--icmp-type”用于指定icmp包的类型，“echo-request”代表ping包。（3）替换规则 命令用法：iptables　[-t 表名] -R 链名　规则号　匹配选项　-