Linux平台上Iptables包过滤防火墙的实现

80酷酷网    80kuku.com

  

  语法

  1. 对链的操作

  建立一个新链 (-N)。

  删除一个空链 (-X)。

  改变一个内建链的原则 (-P)。

  列出一个链中的规则 (-L)。

  清除一个链中的所有规则 (-F)。

  归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。

  2. 对规则的操作

  加入(append) 一个新规则到一个链 (-A)的最后。

  在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。

  在链内某个位置替换(replace) 一条规则 (-R)。

  在链内某个位置删除(delete) 一条规则 (-D)。

  删除(delete) 链内第一条规则 (-D)。

  3. 指定源地址和目的地址

  通过--source/--src/-s来指定源地址(这里的/表示或者的意思,下同),通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定ip地址:

  a. 使用完整的域名,如“www.linuxaid.com.cn”;

  b. 使用ip地址,如“192.168.1.1”;

  c. 用x.x.x.x/x.x.x.x指定一个网络地址,如“192.168.1.0/255.255.255.0”;

  d.

  用x.x.x.x/x指定一个网络地址,如“192.168.1.0/24”这里的24表明了子网掩码的有效位数,这是

  UNIX环境中通常使用的表示方法。

  缺省的子网掩码数是32,也就是说指定192.168.1.1等效于192.168.1.1/32。

  4. 指定协议

  可以通过--protocol/-p选项来指定协议,比如-p tcp。

  5. 指定网络接口将

  可以使用--in-interface/-i或--out-interface/-o来指定网络接口。需要注意的是,对于INPUT链来说,只可能有-i,也即只会有进入的包;通理,对于OUTPUT链来说,只可能有-o,也即只会有出去的包。只有FORWARD链既可以有-i的网络接口,也可以有-o的网络接口。我们也可以指定一个当前并不存在的网络接口,比如ppp0,这时只有拨号成功后该规则才有效。



分享到
  • 微信分享
  • 新浪微博
  • QQ好友
  • QQ空间
点击: