iptables 使用简介.docxVIP

网络技术应用网 HYPERLINK iptables 使用简介- -- - Tag： HYPERLINK /SearchTag.b?span=1wd=iptables \t _blank iptables ?? HYPERLINK /SearchTag.b?span=1wd=%CA%B9%D3%C3%BC%F2%BD%E9- \t _blank 使用简介- ?? ?????????????????????????????????????? # iptables -A INPUT -j ACCEPT 大小楷绝不可以乱！输入这条 rule 后，用 iptables -L -v -n 该看到类似以下结果︰ Chain INPUT (policy ACCEPT 2939 packets, 1124863 bytes) pkts bytes target prot opt in out source destination  1 241 ACCEPT all -- * * /0 /0 它表示甚么呢？-A 是 append（附加），它会在 INPUT、FORWARD、OUTPUT 其中一条 chain 里加一条 rule 而这条 rule 在随后的参数将会见到。而 -j 呢，则是定义究竟那些 packet（包） 该怎样处理。现在是 ACCEPT，即让它通过。如果不想让任何 packet 通过呢？十分简单︰ # iptables -R INPUT 1 -j DROP 今次由 ACCEPT 变 DROP，就不会有任何 packet 可以过关了。但...... -R 又是甚么？那是 replace 的意思，随后的 INPUT 1 即 replace 了第一条 chain，即刚才 ACCEPT 那一条呀！ 当然，firewall 的功用不可能是禁止任何 traffic 吧！因此让我们先清除它︰ # iptables -D INPUT 1 -D 表示 delete，用法和上面的 -R 一样。除了 -A、-R、-D 外还有 -I 表示 insert；-A 是逐条逐条 rule 加上去，-I 则是在整串的 rule 中间加插某一条 rule，除此之外没有其它分别了。 最后还有 -F 表示 flush，顾名思义它会把你辛辛苦苦 set 好的 rule 都冲进马桶里！ 有关 IP address 的选项 再多点热身才好办事，试试吧︰ # iptables -A INPUT -s 01 -j DROP 为甚么用这个 IP 作示范？总之是个讨人厌的地方吧！不要问了！一句说完，就是 block 了这一个 IP 不准它有任何 traffic 进入自己的地盘。不单是一个 IP，一个 range 的 IP 也可以︰ # iptables -A INPUT -s /8 -j DROP 如果你的 LAN 是使用 192.168.0.x 的，那当然不希望有 10.x.x.x 地址出现！因此 DROP 了这种 IP 是很正常的。 上面两个例子是用 -s(即 source IP)的，且看看它的反面，即 -d(destination)的例子︰ # iptables -A INPUT -d -j DROP 假设你的 IP 是 吧，那么这条 rule 对你完全没有影响；相反，若你的 IP 是 ，那任何到你的机器的 packet 都会被 DROP 了。 -s 和 -d 可以放在一起用，而且它们和 IP address 之间可以放一个叹号(！)表示 not 的意思。例如︰ # iptables -P INPUT DROP# iptables -A INPUT -s ! -d /24 -j ACCEPT 笔者漏了 -P 未介绍，那是 default policy 的意思，即预先定义如果甚么 rule 也不能决定 packet 的去向的时候，会预设让它通过呢，还是预设拒诸门外，还是做其它动作。这里预设是 DROP。好了，下一句才是笔者想讲的，意思是︰如果 source 不是 ，而 destination 是 192.168.0.x 任何一个 IP，都会让它通过。那即是封杀了 ！ 在看下一节前，先清一清旧的垃圾 rules 罢︰ # iptables -F 属于这类的选项很少，和上面的一样，只有两个︰-i 和 -o。-i 是指明 input 的 interface，只会在 INPUT chain 时有用；相反，-o 是 output interface，只会在 output 时有用。