LINUX从入门到精通技巧.ppt

（3）mangle表：主要用于对指定的包进行修改，因为一些特殊应用可能 需要去改写数据包的一些传输特性，如：TTL等 4.iptables传输数据包的过程 进入数据包 输出数据包 PREROUTING链 FORWORD链 POSTROUTING链 转发 进入本地 INPUT链 内部处理过程 OUTPUT链 四.关闭系统防火墙 1.iptables命令格式 iptables [-t 表] – 命令 匹配 操作 (1)表选项 用于指定命令应用于哪个iptables内置表,共有filter/nat/mangle表 (2)命令选项:用于指定iptables执行方式,有插入/删除/添加规则等 * 命令 说明 -P 或 --policy链名 定义默认策略 -L 或 --list链名 查看IPTABLES规则列表 -A 或 --append链名 在规则列表最后一行增加1条规则 -I 或 --insert链名 在指定位置插入1条规则 -D 或 --delete链名 从规则列表中删除1条规则 -R 或 --replace链名 替换规则列表中的某条规则 -F 或 --flush链名 删除表中所有规则 -Z 或 --zero链名 将表中数据包计数器/流量计数据归零 (3)匹配选项:指定数据包与规则匹配所应具有的特征,包括源地址/目的地址/传输协议和端口号等. * 匹配 说明 -i或 --in-interface网络接口号 指定包从哪个网络接口进入 -o或 --out-interface 网络接口号 指定包从哪个网络接口输出 -p或 --proto协议类型 指定数据包匹配的协议 -s或 --source源地址或子网 指定数据包匹配的源地址 --sport源端口号 指定数据包匹配的源端口号,可用“起始端口:结 束端口”的格式指定一个范围 -d或--destination目标地址或子网 指定数据包匹配的目标地址 --dport目标端口号 指定数据包匹配的目标端口号,可用“起始端口: 结束端口”的格式指定一个范围 (4)动作选项:指定当数据包与规则匹配时,应该做什么操作 * 动作 说明 ACCEPT 接受数据包 DROP 丢弃数据包 REDIRECT 将包重新转向到本机或另一台主机的某个端口,通常用此实 现透明代理或对外开放内网的某些服务 SNAT 源地址转换,可改变数据包源地址 DNAT 目标地址转换,可改变数据包目标地址 MASQUERADE IP伪装,只能用于ADSL的NAT LOG 日志功能,为排错 2.iptables的使用 (1)定义默认策略 当数据包不符合链中任一条规则时,iptables将根据此链预先定义的默认 策略来处理数据包,默认策略定义如下: 格式:iptables [-t 表名] -p 链名 动作 * 说明:A.默认为filter表,可指定到nat或mangle中 B. -p 定义默认策略 C.链名 指默认策略将应用于哪个链,可使用 INPUT/OUTPUT/FORWARD D.动作 将包处理情况 例一:将filter表INPUT链的默认策略定义为接受数据包 iptables –P INPUT ACCEPT 例二：将nat表OUTPUT链默认策略定义为丢弃数据包 iptables –t nat –P OUTPUT DROP 小技巧：对没有配置规则的用户，先拒绝所有数据包，然后再根据需要 对一些包放行。 方法： iptables –P INPUT DROP iptables –P FORWARD DROP iptables –P OUTPUT ACCEPT * (2)查看iptables规则 格式： iptabl