linux_iptables配置.docVIP

Linux_iptables Iptables默认包含三张表：netfilter/nat/mangle Netfilter:包含三条链，分别为INPUT /FORWORD/ OUTPUT Nat:包含三条链，分别为Prerouting/output/postrouting Mangle:包含5条链，主要作用是修改标志位，进行包过滤和策略路由 Iptables命令格式： Iptables 【-t 表名】 命令 [链名] [规则号] [规则] [-j 目标] 表-链-规则的关系 如果不指明表名，默认是netfilter表 命令 -A 链名 规则 *在指定的链名后添加一条或者多条规则* -D 链名 规则 *从指定的链中删除一条或者多条规则* -R 链名 规则号 规则 *在指定的链中用心的规则置换指定的某一规则号的规则* -I 链名 规则号 规则 *在指定的规则号前插入一条或者多条规则，默认为1* -L 链名 *列出指定链中的所有规则* -F 链名 *删除指定链中的规则* -N 链名 *建立一个新的用户自定义链* -X 链名 *删除指定的用户自定义链*这个链必须没有被引用，而且不包含任何规则 -P 链名 *为指定的链设置规则的默认目标*当一个数据包与所有的规则都不匹配时采用这个默认的目标动作 -E 链名 *重新命名链名，对链的功能没有影响* 规则 -p 协议类型 -p tcp –sport port -s IP地址/掩码 -p tcp –dport port -d IP地址/掩码 -p tcp --syn -I 网络接口 -p icmp –icmp-type type 类型可以使echo-reply echo-request -o 网络接口 如果要指定一个端口范围，可以用-m参数指定模块，如 -m multiport --sport port,port……… 指定数据包的多个源端口 -m multiport --dport port,port……… -m multiport --port port,port……… -m state --state state 指定满足某一状态的数据包 -m connlimit --connlimit-above n 用于限制客户端到一台主机的TCP并发连接总数 -m mac --mac-source address 指定数据包的源MAC -j选项 -j ACCEPT:放行与规则匹配的数据包 -j REJECT:拒绝与规则匹配的数据包 -j DROP:丢弃所匹配的数据包 -j REDIRECT:重定向数据包 -j LOG:记录与规则相匹配的数据包日志 -j 规则链名称：数据包传递到另一规则链 主机防火墙: 如果对防火墙做了修改，且想保存已经配置的iptables规则， /etc/rc.d/init.d/iptables save 此时所有的规则被保存在/etc/sysconfig/iptables文件中 Iptables –L 查看规则表 Iptables –v 列出每一条规则当前匹配的数据包数，字节数，以及要求数据包进来和出去的网络接口 Iptables –n 不对显示结果中的IP地址和端口做名称解析，直接以数字的形式显示 Iptables –line-number 在第一列显示每条规则的规则号 Netfilter表默认有三条链：INPUT;OUTPUT;FORWARD 1.iptables –A INPUT –p tcp –dport 80 –j ACCEPT *允许目标端口为80的 tcp数据包通过INPUT链 2.iptables –A INPUT –s /24 –I eth0 –j DROP *丢弃从eth0口进来，源地址为/24的数据包 3.iptables –A INPUT –p udp –sport 53 –dport 1024:65535 –j ACCEPT *允许源端口为53，目标端口为1024到65535的tcp包通过INPUT链 4.iptables –A INPUT –p tcp –tcp-flags SYN,RST,ACK SYN –j ACCEPT *--tcp-flags子选项用于指定TCP数据包的标志位，可以有SYN,RST,ACK，FIN,URG,PSH六种，用空格分成两部分，前一部 分列出有要求的标志位，后部分列出要求值为1的标志位 5.iptables –A INPUT –