iptables增加与插入规则语法.docVIP

iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp,icmp,all] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j [ACCEPT,DROP] 参数说明： -A ：新增加一条规则，该规则增加在最后面，例如原本已经有四条规则，使用 -A 就可以加上第五条规则！ -I ：插入一条规则，如果没有设定规则顺序，预设是插入变成第一条规则，例如原本有四条规则，使用 -I 则该规则变成第一条，而原本四条变成 2~5 　INPUT　：规则设定为 filter table 的 INPUT 链 　OUTPUT ：规则设定为 filter table 的 OUTPUT 链 　FORWARD：规则设定为 filter table 的 FORWARD 链 　 -i　　　 ：设定『封包进入』的网络卡接口 -o　　　　：设定『封包流出』的网络卡接口 　interface ：网络卡接口，例如 ppp0, eth0, eth1.... 　 -p 　：请注意，这是小写呦！封包的协议啦！ 　tcp ：封包为 TCP 协议的封包； 　upd ：封包为 UDP 协议的封包； 　icmp：封包为 ICMP 协议； 　all ：表示为所有的封包！ 　 -s ：来源封包的 IP 或者是 Network ( 网段 )； --sport：来源封包的 port 号码，也可以使用 port1:port2 如 21:23 　　　　 同时通过 21,22,23 的意思 -d ：目标主机的 IP 或者是 Network ( 网段 )； --dport：目标主机的 port 号码； 　 -j 　　：动作，可以接底下的动作； 　ACCEPT ：接受该封包 　DROP　 ：丢弃封包 　LOG　　：将该封包的信息记录下来 (预设记录到 /var/log/messages 档案) 范例一：所有的来自 lo 这个界面的封包，都予以接受 [root@test root]# iptables -A INPUT -i lo -j ACCEPT # 注意一下，因为 -d, --dport, -s, --sport 等等参数都没有设定，这表示： # 不论封包来自何处或去到哪里，只要是来自 lo 这个界面，就予以接受！ # 这个观念挺重要的，就是『没有设定的规定，则表示该规定完全接受』的意思！ # 例如这个案例当中，关于 -s, -d...等等的参数没有规定时！ 　 范例二：来自 这个 IP 的封包都予以接受： [root@test root]# iptables -A INPUT -i eth0 -p tcp -s -j ACCEPT # 新增一条规则，只要是来自于 的封包，不论他要去哪里，使用的是那个协议 (port) 主机都会予以接受的意思。 范例三：来自 这个 C Class 的网段的任何一部计算机，就予以接受！ [root@test root]# iptables -A INPUT -i eth0 -p tcp -s /24 -j ACCEPT # 这个是网段的写法喔！稍微注意一下的是，在范例二当中我们仅针对一个 IP ， # 至于这个范例当中，则是针对整个网段来开放吶！而网段的写法可以是： # /24 也可以是 / 都能够接受喔！ 　 范例四：来自 5 的封包都给他丢弃去！ [root@test root]# iptables -A INPUT -i eth0 -p tcp -s 5 -j DROP 　 范例五：只要是想进入本机的 port 21 的封包就给他丢弃 [root@test root]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP 　 范例六：来自 4 这个 IP 的封包，想要到我的 137,138,139 端口时，都接受 [root@test root]# iptables -A INPUT -i eth0 -p tcp -s 4 --dport 137:139 -j ACCEPT 　 范例七：只要是接触到我主机的 port 25 就将该封包记录 (LOG) 下来 [root@test root]# iptables -A INPUT -p tcp --dport 25 -j LOG # 还是请特别注意到『规则的顺序排列』的问题喔！ iptables 的其它相关参数说明： [!] --syn ：这个设定仅能用于 -p tcp