iptables 工具
iptables 工具
table name
|
description |
operation
|
filter (default)
|
用于包过滤,包含 INPUT 、OUTPUT 和 FORWARD链 |
ACCEPT、DROP、REJECT、LOG
|
nat
|
转换包的源或目的地址,包含 PREROUTING 、OUTPUT 和 POSTROUTING链 |
SNAT、DNAT、MASQUERADE
|
mangle
|
包含一些规则来标记用于高级路由的信息包,包含 PREROUTING 、OUTPUT 链 |
TOS、TTL、MARK
|
step
|
table
|
chain
|
comment
|
1
|
|
|
在 Internet线路上传输
|
2
|
|
|
进入网卡接口(如 eth0 )
|
3
|
mangle
|
PREROUTING
|
|
4
|
nat
|
PREROUTING
|
这个链主要做 DNAT
|
5
|
|
|
路由判断,包是要转发还是送往本地
|
6
|
mangle
|
INPUT
|
|
7
|
filter
|
INPUT
|
这里可以加过滤
|
8
|
|
|
到达本地的应用程序
|
step
|
table
|
chain
|
comment
|
1
|
|
|
本地的应用程序
|
2
|
|
|
路由判断
|
3
|
mangle
|
OUTPUT
|
|
4
|
nat
|
OUTPUT
|
这个链主要做 DNAT
|
5
|
filter
|
OUTPUT
|
这里可以加过滤
|
6
|
mangle
|
POSTROUTING
|
|
7
|
nat
|
POSTROUTING
|
这个链主要做 SNAT
|
8
|
|
|
离开网卡接口(如 eth0 )
|
9
|
|
|
在 Internet线路上传输
|
step
|
table
|
chain
|
comment
|
1
|
|
|
在 Internet线路上传输
|
2
|
|
|
进入网卡接口(如 eth0 )
|
3
|
mangle
|
PRETROUTING
|
|
4
|
nat
|
PRETROUTING
|
这个链主要做 DNAT
|
5
|
|
|
路由判断,包是要转发还是送往本地
|
6
|
mangle
|
FORWARD
|
特殊情况才使用
|
7
|
filter
|
FORWARD
|
转发的包会走该链,进行过滤
|
8
|
mangle
|
POSTROUTING
|
特殊情况才使用
|
9
|
nat
|
POSTROUTING
|
这个链主要做 SNAT
|
10
|
|
|
离开网卡接口(如 eth0 )
|
11
|
|
|
在 Internet线路上传输
|
列出链中的所有规则;输出格式不同
插入一条规则,I此规则会作为链的第一条规则;A则会在最后一条
-D <CHAIN> N, -D <CHAIN>
删除一条规则,可以明确指明规则内容,也可以用N指出链中的第N条
-F <CHAIN>, -Z <CHAIN>
F清除链中的所有规则,不指明链,则清除所有链;Z则是只清除计数器,不清除规则
-P <CHAIN>
指定某条链的默认动作,ACCEPT、DROP或REJECT等
-p, --protocol
协议匹配,如 -p tcp
-s, --src, --source
来源匹配,如 -s 202.108.37.49
-d, --dst, --destination
目的匹配,如 -d 172.16.115.117
-i, --in-interface
入网卡接口匹配,如 -i eth0
-o, --out-interface
出网卡接口匹配,如 -o eth1
--sport, --source-port
来源端口匹配(tcp或udp),如 --sport 80;也可以用端口范围,如 --sport 135:139
--dport, --destination-port
目的端口匹配(tcp或udp),如 --dport 80;同样支持端口范围
--tcp-flags
tcp状态匹配,如 --tcp-flags RST RST
-m mac --mac-source
mac地址匹配,如 -m mac --mac-source 00:1E:C9:B0:53:D2
-m multiport --source-port , --destination-port
多端口匹配,如-m multiport --destination-port 80,443
-m iprange
简单的指定ip范围。用--src-range或--dst-range匹配,如 -m iprange --src-range 192.168.1.33-192.168.1.50
-m time
指定匹配时间(UTC),可以使用--datestart、--datestop、--timestart或--timestop等参数。如 -m time --datestart 2014-01-01T00:00:00 --datestop 2014-12-31T23:59:59 。注意时间是UTC时间。
-j ACCEPT:
源地址转换,如 -j SNAT --to 61.135.152.194
-j MASQUERADE
类似SNAT,但是根据默认路由转换,适用于动态ip(不需要指明转换后的地址)
-j DNAT
进行目的地址转换,如 -j DNAT --to-destination 192.168.0.254
-j REDIRECT
(对于tcp和udp)进行端口重定向,如 -j REDIRECT --to-ports 8080
丢弃RST包
iptables -I INPUT -p tcp --sport 80 --tcp-flags RST RST -j DROP
iptables 工具的更多相关文章
- iptables工具
http://www.linuxidc.com/Linux/2012-12/77074.htm iptables 指令 语法: iptables [-t table] command [match] ...
- iptables 工具的使用
试验建议:关闭CentOS 7 或 CentOS 6的防火墙 (systemctl stop firewalld ; systemctl disable firewalld 或 service ipt ...
- 【Redhat系列linux防火墙工具】firewalld与iptables防火墙工具的激烈碰撞
前言 iptables与firewalld防火墙管理工具在linux发行版Redhat7系列使用较为广泛. UFW则是在linux发行版Ubuntu下进行管理防火墙的一款管理工具. 在选用防火墙工具的 ...
- Linux防火墙简介及iptables的基本使用
一.防火墙基础知识 iptables/netfilter:网络防火墙,连接追踪(状态检测) netfilter:工作内核中,让规则能够生效的网络框架(framework) iptables:防火墙规则 ...
- linux 的iptables防火墙
.a文件就是*.o文件的集合, 是object文件的归档文件, 所以, 用nm -A ???.a看到的 symbolic符合名称都是 相应的, 包含的 .o文件.... linux 2.4内核中 ...
- iptables和netfilter
1.iptables和netfilter说明 [1]netfilter/iptables组成Linux平台下的包过滤防火墙,iptables是用户空间的管理工具,netfilter是内核空间的包处理框 ...
- Linux iptables 命令
iptables 是 Linux 管理员用来设置 IPv4 数据包过滤条件和 NAT 的命令行工具.iptables 工具运行在用户态,主要是设置各种规则.而 netfilter 则运行在内核态,执行 ...
- iptables 分析(1)
原文:http://blog.chinaunix.net/uid-24207747-id-2622900.html iptables 是用户空间中用于管理包过滤及NAT 等的工具应用程序.它设置防火墙 ...
- iptables四表五链及默认规则使用,
网络基础 TCP/IP模型: 应用层===传输层===网络层===数据链里层===物理层 数据封装: MAC帧头+IP报头+TCP/UDP报头===HTTP请求 数据帧 TCP/UDP报头: 随机产生 ...
随机推荐
- 未能加载文件或程序集“XXXXX”或它的某一个依赖项。试图加载格式不正确的程序。
未能加载文件或程序集“FastColoredTextBox, Version=2.10.5.0, Culture=neutral, PublicKeyToken=null”或它的某一个依赖项.试图加载 ...
- Integrating JAD decompiler into JDeveloper(转)
原文地址:Integrating JAD decompiler into JDeveloper In JDeveloper, when debugging or otherwise navigatin ...
- sqlalchemy 的 raw sql 方式使用示例
#获取数据库 from sqlalchemy import create_engine db = create_engine("sqlite:///:memory:", echo= ...
- 访问 IIS 元数据库失败 的解决方法
系统是windows xp sp3,vs2010.安装了iis 5.1 ,创建了虚拟目录之后copy进去一个web sercices测试下能不能正常工作. 出现如下问题: 访问 IIS 元数据库失败. ...
- 如何清洗 Git Repo 代码仓库
git prune 如何清洗 Git Repo 代码仓库 在腾讯云上创建您的SQL Cluster>>> » 相信不少团队的代码仓库 Git Repo 变得越来越大. ...
- [CareerCup] 10.5 Web Crawler 网络爬虫
10.5 If you were designing a web crawler, how would you avoid getting into infinite loops? 这道题问如果让我们 ...
- PowerCMD——cmd的命令行工具
之前就想整理一下程序员经常使用的一些工具,最近有时间正好整理一下. 有句话叫做:“工欲善其事必先利其器”,而我就算是搜集工具组装成一个系列——善事利器,来记录一下工作学习中常用的一些工具. 总结起来, ...
- JavaScript基础---语言基础(2)
运算符 1.一元运算符 2.算术运算符 3.关系运算符 4.逻辑运算符 5.*位运算符 6.赋值运算符 7.其他运算符 8.运算符优先级 ECMA-262描述了一组用于操作数据值的运算符,包括一元运算 ...
- 这些天自身努力的体会,关于java方面的
以前也是接触过java,这学期的软件工程课和周围同学各种比赛取得不错的成绩,确实令人倍感压力.为此这几天使劲脑补了一下java的知识,甚至不惜为此翘课,了解了java中的网络编程,对于sokectse ...
- qt添加最小化和关闭按钮
int width = this->width();//获取界面的宽度 //构建最小化.最大化.关闭按钮 QToolButton *minButton = new QToolButton(thi ...