91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

linux系統中怎么設置iptables規則

發布時間:2021-07-23 14:33:53 來源:億速云 閱讀:128 作者:Leah 欄目:建站服務器

這篇文章將為大家詳細講解有關linux系統中怎么設置iptables規則,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

1、iptables -L

查看filter表的iptables規則,包括所有的鏈。filter表包含INPUT、OUTPUT、FORWARD三個規則鏈。

說明:-L是--list的簡寫,作用是列出規則。

2、iptables -L [-t 表名]

只查看某個表的中的規則。

說明:表名一共有三個:filter,nat,mangle,如果沒有指定表名,則默認查看filter表的規則列表(就相當于第一條命令)。

舉例:iptables -L -t filter

3、iptables -L [-t 表名] [鏈名]

這里多了個鏈名,就是規則鏈的名稱。

說明:iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五個規則鏈。

舉例:iptables -L INPUT

注意:鏈名必須大寫。在Linux系統上,命令的大小寫很敏感。

4、iptables -n -L

說明:以數字形式顯示規則。如果沒有-n,規則中可能會出現anywhere,有了-n,它會變成0.0.0.0/0

5、iptables -nv -L

說明:你也可以使用“iptables -L -nv”來查看,這個列表看起來更詳細,對技術人員更友好,呵呵。

如果想刪除iptables規則我們可以如下操作

刪除用-D參數

刪除之前添加的規則(iptables -A INPUT -s 192.168.1.5 -j DROP):

[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP

有時候要刪除的規則太長,刪除時要寫一大串,既浪費時間又容易寫錯,這時我們可以

先使用–line-number找出該條規則的行號,再通過行號刪除規則。

[root@test ~]# iptables -nv --line-number

iptables v1.4.7: no command specified

Try `iptables -h' or 'iptables --help' for more information.

[root@test ~]# iptables -nL --line-number

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination

1    DROP       all  --  192.168.1.1          0.0.0.0/0

2    DROP       all  --  192.168.1.2          0.0.0.0/0

3    DROP       all  --  192.168.1.3          0.0.0.0/0

刪除第二行規則

[root@test ~]# iptables -D INPUT 2

[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 

(注:這個規則,如果你把OUTPUT 設置成DROP的就要寫上這一部,好多人都是忘了寫這一部規則導致,始終無法SSH.在遠程一下,是不是好了.其他的端口也一樣,如果開啟了web服務器,OUTPUT設置成DROP的話,同樣也要添加一條鏈:

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT)

如果做了WEB服務器,開啟80端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

如果做了郵件服務器,開啟25,110端口.

[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT

[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

如果做了FTP服務器,開啟21端口

[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT

如果做了DNS服務器,開啟53端口

[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

上面主要寫的都是INPUT鏈,凡是不在上面的規則里的,都DROP

允許icmp包通過,也就是允許ping,

[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT設置成DROP的話)

[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT設置成DROP的話)

允許loopback!(不然會導致DNS無法正常關閉等問題)

IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)

IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)

下面寫OUTPUT鏈,OUTPUT鏈默認規則是ACCEPT,所以我們就寫需要DROP(放棄)的鏈.

減少不安全的端口連接

[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP

[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP

.

下面寫一下更加細致的規則,就是限制到某臺機器

如:我們只允許192.168.0.3的機器進行SSH連接

[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

如果要允許,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.

24表示子網掩碼數.但要記得把 /etc/sysconfig/iptables 里的這一行刪了.

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因為它表示所有地址都可以登陸.

或采用命令方式:

[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT

[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣寫 !192.168.0.3 表示除了192.168.0.3的ip地址

其他的規則連接也一樣這么設置.

在下面就是FORWARD鏈,FORWARD鏈的默認規則是DROP,所以我們就寫需要ACCETP(通過)的鏈,對正在轉發鏈的監控.

開啟轉發功能,(在做NAT時,FORWARD默認規則是DROP時,必須做)

[root@tp ~]# iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT

[root@tp ~]# iptables -A FORWARD -i eth2 -o eh0 -j ACCEPT

丟棄壞的TCP包

[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

處理IP碎片數量,防止攻擊,允許每秒100個

[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

設置ICMP包過濾,允許每秒1個包,限制觸發條件是10個包. 

[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

我在前面只所以允許ICMP包通過,就是因為我在這里有限制.

3、刪除

刪除用-D參數

刪除之前添加的規則(iptables -A INPUT -s 192.168.1.5 -j DROP):

[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP有時候要刪除的規則太長,刪除時要寫一大串,既浪費時間又容易寫錯,這時我們可以先使用–line-number找出該條規則的行號,再通過行號刪除規則。

[root@test ~]# iptables -nv --line-number

iptables v1.4.7: no command specified

Try `iptables -h' or 'iptables --help' for more information.

[root@test ~]# iptables -nL --line-number

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination

1    DROP       all  --  192.168.1.1          0.0.0.0/0

2    DROP       all  --  192.168.1.2          0.0.0.0/0

3    DROP       all  --  192.168.1.3          0.0.0.0/0

刪除第二行規則

[root@test ~]# iptables -D INPUT 24、

不管你在安裝linux時是否啟動了防火墻,如果你想配置屬于自己的防火墻,那就清除現在filter的所有規則.

[root@tp ~]# iptables -F        清除預設表filter中的所有規則鏈的規則

[root@tp ~]# iptables -X        清除預設表filter中使用者自定鏈中的規則

我們在來看一下

[root@tp ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target       prot opt source                 destination         

Chain FORWARD (policy ACCEPT)

target       prot opt source                 destination         

Chain OUTPUT (policy ACCEPT)

target       prot opt source                 destination      

[root@tp ~]# /etc/rc.d/init.d/iptables save

這樣就可以寫到/etc/sysconfig/iptables文件里了.寫入后記得把防火墻重起一下,才能起作用.

[root@tp ~]# service iptables restart

現在IPTABLES配置表里什么配置都沒有了,那我們開始我們的配置吧

(3)設定預設規則

[root@tp ~]# iptables -p INPUT DROP

[root@tp ~]# iptables -p OUTPUT ACCEPT

[root@tp ~]# iptables -p FORWARD DROP

上面的意思是,當超出了IPTABLES里filter表里的兩個鏈規則(INPUT,FORWARD)時,不在這兩個規則里的數據包怎么處理呢,那就是DROP(放棄).應該說這樣配置是很安全的.我們要控制流入數據包

而對于OUTPUT鏈,也就是流出的包我們不用做太多限制,而是采取ACCEPT,也就是說,不在著個規則里的包怎么辦呢,那就是通過.

可以看出INPUT,FORWARD兩個鏈采用的是允許什么包通過,而OUTPUT鏈采用的是不允許什么包通過.

修改使用-R參數

先看下當前規則:

[root@test ~]# iptables -nL --line-number

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination

1    DROP       all  --  192.168.1.1          0.0.0.0/0

2    DROP       all  --  192.168.1.2          0.0.0.0/0

3    DROP       all  --  192.168.1.5          0.0.0.0/0

將第三條規則改為ACCEPT:

[root@test ~]# iptables -R INPUT 3 -j ACCEPT再查看下:

[root@test ~]# iptables -nL --line-number

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination

1    DROP       all  --  192.168.1.1          0.0.0.0/0

2    DROP       all  --  192.168.1.2          0.0.0.0/0

3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

第三條規則的target已改為ACCEPT。

iptables -E old-chain-name new-chain-name

-E 舊的鏈名 新的鏈名 

用新的鏈名取代舊的鏈名

說明

Iptalbes 是用來設置、維護和檢查Linux內核的IP包過濾規則的。 

可以定義不同的表,每個表都包含幾個內部的鏈,也能包含用戶定義的鏈。每個鏈都是一個規則列表,對對應的包進行匹配:每條規則指定應當如何處理與之相匹配的包。這被稱作'target'(目標),也可以跳向同一個表內的用戶定義的鏈。

TARGETS

防火墻的規則指定所檢查包的特征,和目標。如果包不匹配,將送往該鏈中下一條規則檢查;如果匹配,那么下一條規則由目標值確定.該目標值可以是用戶定義的鏈名,或是某個專用值,如ACCEPT[通過], DROP[刪除], QUEUE[排隊], 或者 RETURN[返回]。

ACCEPT 表示讓這個包通過。DROP表示將這個包丟棄。QUEUE表示把這個包傳遞到用戶空間。RETURN表示停止這條鏈的匹配,到前一個鏈的規則重新開始。如果到達了一個內建的鏈(的末端),或者遇到內建鏈的規則是RETURN,包的命運將由鏈準則指定的目標決定。

TABLES

當前有三個表(哪個表是當前表取決于內核配置選項和當前模塊)。

-t table

這個選項指定命令要操作的匹配包的表。如果內核被配置為自動加載模塊,這時若模塊沒有加載,(系統)將嘗試(為該表)加載適合的模塊。這些表如下:

filter,這是默認的表,包含了內建的鏈INPUT(處理進入的包)、FORWORD(處理通過的包)和OUTPUT(處理本地生成的包)。

nat,這個表被查詢時表示遇到了產生新的連接的包,由三個內建的鏈構成:PREROUTING (修改到來的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改準備出去的包)。

mangle 這個表用來對指定的包進行修改。它有兩個內建規則:PREROUTING(修改路由之前進入的包)和OUTPUT(修改路由之前本地的包)。

OPTIONS

這些可被iptables識別的選項可以區分不同的種類。

COMMANDS

這些選項指定執行明確的動作:若指令行下沒有其他規定,該行只能指定一個選項.對于長格式的命令和選項名,所用字母長度只要保證iptables能從其他選項中區分出該指令就行了。

-A -append

在所選擇的鏈末添加一條或更多規則。當源(地址)或者/與 目的(地址)轉換為多個地址時,這條規則會加到所有可能的地址(組合)后面。

-D -delete

從所選鏈中刪除一條或更多規則。這條命令可以有兩種方法:可以把被刪除規則指定為鏈中的序號(第一條序號為1),或者指定為要匹配的規則。

-R -replace

從選中的鏈中取代一條規則。如果源(地址)或者/與 目的(地址)被轉換為多地址,該命令會失敗。規則序號從1開始。

-I -insert

根據給出的規則序號向所選鏈中插入一條或更多規則。所以,如果規則序號為1,規則會被插入鏈的頭部。這也是不指定規則序號時的默認方式。

-L -list

顯示所選鏈的所有規則。如果沒有選擇鏈,所有鏈將被顯示。也可以和z選項一起使用,這時鏈會被自動列出和歸零。精確輸出受其它所給參數影響。

-F -flush

清空所選鏈。這等于把所有規則一個個的刪除。

--Z -zero

把所有鏈的包及字節的計數器清空。它可以和 -L配合使用,在清空前察看計數器,請參見前文。

-N -new-chain

根據給出的名稱建立一個新的用戶定義鏈。這必須保證沒有同名的鏈存在。

-X -delete-chain

刪除指定的用戶自定義鏈。這個鏈必須沒有被引用,如果被引用,在刪除之前你必須刪除或者替換與之有關的規則。如果沒有給出參數,這條命令將試著刪除每個非內建的鏈。

-P -policy

設置鏈的目標規則。

-E -rename-chain

根據用戶給出的名字對指定鏈進行重命名,這僅僅是修飾,對整個表的結構沒有影響。TARGETS參數給出一個合法的目標。只有非用戶自定義鏈可以使用規則,而且內建鏈和用戶自定義鏈都不能是規則的目標。

-h Help.

幫助。給出當前命令語法非常簡短的說明。

PARAMETERS

參數

以下參數構成規則詳述,如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol

規則或者包檢查(待檢查包)的協議。指定協議可以是tcp、udp、icmp中的一個或者全部,也可以是數值,代表這些協議中的某一個。當然也可以使用在/etc/protocols中定義的協議名。在協議名前加上"!"表示相反的規則。數字0相當于所有all。Protocol all會匹配所有協議,而且這是缺省時的選項。在和check命令結合時,all可以不被使用。

-s -source [!] address[/mask]

指定源地址,可以是主機名、網絡名和清楚的IP地址。mask說明可以是網絡掩碼或清楚的數字,在網絡掩碼的左邊指定網絡掩碼左邊"1"的個數,因此,mask值為24等于255.255.255.0。在指定地址前加上"!"說明指定了相反的地址段。標志 --src 是這個選項的簡寫。

-d --destination [!] address[/mask]

指定目標地址,要獲取詳細說明請參見 -s標志的說明。標志 --dst 是這個選項的簡寫。

-j --jump target

-j 目標跳轉

指定規則的目標;也就是說,如果包匹配應當做什么。目標可以是用戶自定義鏈(不是這條規則所在的),某個會立即決定包的命運的專用內建目標,或者一個擴展(參見下面的EXTENSIONS)。如果規則的這個選項被忽略,那么匹配的過程不會對包產生影響,不過規則的計數器會增加。

-i -in-interface [!] [name]

i -進入的(網絡)接口 [!][名稱]

這是包經由該接口接收的可選的入口名稱,包通過該接口接收(在鏈INPUT、FORWORD和PREROUTING中進入的包)。當在接口名前使用"!"說明后,指的是相反的名稱。如果接口名后面加上"+",則所有以此接口名開頭的接口都會被匹配。如果這個選項被忽略,會假設為"+",那么將匹配任意接口。

-o --out-interface [!][name]

-o --輸出接口[名稱]

這是包經由該接口送出的可選的出口名稱,包通過該口輸出(在鏈FORWARD、OUTPUT和POSTROUTING中送出的包)。當在接口名前使用"!"說明后,指的是相反的名稱。如果接口名后面加上"+",則所有以此接口名開頭的接口都會被匹配。如果這個選項被忽略,會假設為"+",那么將匹配所有任意接口。

[!] -f, --fragment

[!] -f --分片

這意味著在分片的包中,規則只詢問第二及以后的片。自那以后由于無法判斷這種把包的源端口或目標端口(或者是ICMP類型的),這類包將不能匹配任何指定對他們進行匹配的規則。如果"!"說明用在了"-f"標志之前,表示相反的意思。

OTHER OPTIONS

其他選項

還可以指定下列附加選項:

-v --verbose

-v --詳細

詳細輸出。這個選項讓list命令顯示接口地址、規則選項(如果有)和TOS(Type of Service)掩碼。包和字節計數器也將被顯示,分別用K、M、G(前綴)表示1000、1,000,000和1,000,000,000倍(不過請參看-x標志改變它),對于添加,插入,刪除和替換命令,這會使一個或多個規則的相關詳細信息被打印。

-n --numeric

-n --數字

數字輸出。IP地址和端口會以數字的形式打印。默認情況下,程序試顯示主機名、網絡名或者服務(只要可用)。

-x -exact

-x -精確

擴展數字。顯示包和字節計數器的精確值,代替用K,M,G表示的約數。這個選項僅能用于 -L 命令。

--line-numbers

當列表顯示規則時,在每個規則的前面加上行號,與該規則在鏈中的位置相對應。

MATCH EXTENSIONS

對應的擴展

iptables能夠使用一些與模塊匹配的擴展包。以下就是含于基本包內的擴展包,而且他們大多數都可以通過在前面加上!來表示相反的意思。

tcp

當 --protocol tcp 被指定,且其他匹配的擴展未被指定時,這些擴展被裝載。它提供以下選項:

--source-port [!] [port[:port]]

源端口或端口范圍指定。這可以是服務名或端口號。使用格式端口:端口也可以指定包含的(端口)范圍。如果首端口號被忽略,默認是"0",如果末端口號被忽略,默認是"65535",如果第二個端口號大于第一個,那么它們會被交換。這個選項可以使用 --sport的別名。

--destionation-port [!] [port:[port]]

目標端口或端口范圍指定。這個選項可以使用 --dport別名來代替。

--tcp-flags [!] mask comp

匹配指定的TCP標記。第一個參數是我們要檢查的標記,一個用逗號分開的列表,第二個參數是用逗號分開的標記表,是必須被設置的。標記如下:SYN ACK FIN RST URG PSH ALL NONE。因此這條命令:iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN標記被設置而ACK、FIN和RST標記沒有設置的包。

[!] --syn

只匹配那些設置了SYN位而清除了ACK和FIN位的TCP包。這些包用于TCP連接初始化時發出請求;例如,大量的這種包進入一個接口發生堵塞時會阻止進入的TCP連接,而出去的TCP連接不會受到影響。這等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"標記,表示相反的意思。

--tcp-option [!] number

匹配設置了TCP選項的。

udp

當protocol udp 被指定,且其他匹配的擴展未被指定時,這些擴展被裝載,它提供以下選項:

--source-port [!] [port:[port]]

源端口或端口范圍指定。詳見 TCP擴展的--source-port選項說明。

--destination-port [!] [port:[port]]

目標端口或端口范圍指定。詳見 TCP擴展的--destination-port選項說明。

icmp

當protocol icmp被指定,且其他匹配的擴展未被指定時,該擴展被裝載。它提供以下選項:

--icmp-type [!] typename

這個選項允許指定ICMP類型,可以是一個數值型的ICMP類型,或者是某個由命令iptables -p icmp -h所顯示的ICMP類型名。

mac

--mac-source [!] address

匹配物理地址。必須是XX:XX:XX:XX:XX這樣的格式。注意它只對來自以太設備并進入PREROUTING、FORWORD和INPUT鏈的包有效。

limit

這個模塊匹配標志用一個標記桶過濾器一一定速度進行匹配,它和LOG目標結合使用來給出有限的登陸數.當達到這個極限值時,使用這個擴展包的規則將進行匹配.(除非使用了"!"標記)

--limit rate

最大平均匹配速率:可賦的值有'/second', '/minute', '/hour', or '/day'這樣的單位,默認是3/hour。

--limit-burst number

待匹配包初始個數的最大值:若前面指定的極限還沒達到這個數值,則概數字加1.默認值為5

multiport

這個模塊匹配一組源端口或目標端口,最多可以指定15個端口。只能和-p tcp 或者 -p udp 連著使用。

--source-port [port[, port]]

如果源端口是其中一個給定端口則匹配

--destination-port [port[, port]]

如果目標端口是其中一個給定端口則匹配

--port [port[, port]]

若源端口和目的端口相等并與某個給定端口相等,則匹配。

mark

這個模塊和與netfilter過濾器標記字段匹配(就可以在下面設置為使用MARK標記)。

--mark value [/mask]

匹配那些無符號標記值的包(如果指定mask,在比較之前會給掩碼加上邏輯的標記)。

owner

此模塊試為本地生成包匹配包創建者的不同特征。只能用于OUTPUT鏈,而且即使這樣一些包(如ICMP ping應答)還可能沒有所有者,因此永遠不會匹配。

--uid-owner userid

如果給出有效的user id,那么匹配它的進程產生的包。

--gid-owner groupid

如果給出有效的group id,那么匹配它的進程產生的包。

--sid-owner seessionid

根據給出的會話組匹配該進程產生的包。

state

此模塊,當與連接跟蹤結合使用時,允許訪問包的連接跟蹤狀態。

--state state

這里state是一個逗號分割的匹配連接狀態列表。可能的狀態是:INVALID表示包是未知連接,ESTABLISHED表示是雙向傳送的連接,NEW表示包為新的連接,否則是非雙向傳送的,而RELATED表示包由新連接開始,但是和一個已存在的連接在一起,如FTP數據傳送,或者一個ICMP錯誤。

unclean

此模塊沒有可選項,不過它試著匹配那些奇怪的、不常見的包。處在實驗中。

tos

此模塊匹配IP包首部的8位tos(服務類型)字段(也就是說,包含在優先位中)。

--tos tos

這個參數可以是一個標準名稱,(用iptables -m tos -h 察看該列表),或者數值。

TARGET EXTENSIONS

iptables可以使用擴展目標模塊:以下都包含在標準版中。

LOG

為匹配的包開啟內核記錄。當在規則中設置了這一選項后,linux內核會通過printk()打印一些關于全部匹配包的信息(諸如IP包頭字段等)。

--log-level level

記錄級別(數字或參看 syslog.conf(5))。

--log-prefix prefix

在紀錄信息前加上特定的前綴:最多14個字母長,用來和記錄中其他信息區別。

--log-tcp-sequence

記錄TCP序列號。如果記錄能被用戶讀取那么這將存在安全隱患。

--log-tcp-options

記錄來自TCP包頭部的選項。

--log-ip-options

記錄來自IP包頭部的選項。

MARK

用來設置包的netfilter標記值。只適用于mangle表。

--set-mark mark

REJECT

作為對匹配的包的響應,返回一個錯誤的包:其他情況下和DROP相同。

此目標只適用于INPUT、FORWARD和OUTPUT鏈,和調用這些鏈的用戶自定義鏈。這幾個選項控制返回的錯誤包的特性:

--reject-with type

Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited,該類型會返回相應的ICMP錯誤信息(默認是port-unreachable)。選項 echo-reply也是允許的;它只能用于指定ICMP ping包的規則中,生成ping的回應。最后,選項tcp-reset可以用于在INPUT鏈中,或自INPUT鏈調用的規則,只匹配TCP協議:將回應一個TCP RST包。

TOS

用來設置IP包的首部八位tos。只能用于mangle表。

--set-tos tos

你可以使用一個數值型的TOS 值,或者用iptables -j TOS -h 來查看有效TOS名列表。

MIRROR

這是一個試驗示范目標,可用于轉換IP首部字段中的源地址和目標地址,再傳送該包,并只適用于INPUT、FORWARD和OUTPUT鏈,以及只調用它們的用戶自定義鏈。

SNAT

這個目標只適用于nat表的POSTROUTING鏈。它規定修改包的源地址(此連接以后所有的包都會被影響),停止對規則的檢查,它包含選項:

--to-source [-][:port-port]

可以指定一個單一的新的IP地址,一個IP地址范圍,也可以附加一個端口范圍(只能在指定-p tcp 或者-p udp的規則里)。如果未指定端口范圍,源端口中512以下的(端口)會被安置為其他的512以下的端口;512到1024之間的端口會被安置為1024以下的,其他端口會被安置為1024或以上。如果可能,端口不會被修改。

--to-destiontion [-][:port-port]

可以指定一個單一的新的IP地址,一個IP地址范圍,也可以附加一個端口范圍(只能在指定-p tcp 或者-p udp的規則里)。如果未指定端口范圍,目標端口不會被修改。

MASQUERADE

只用于nat表的POSTROUTING鏈。只能用于動態獲取IP(撥號)連接:如果你擁有靜態IP地址,你要用SNAT。偽裝相當于給包發出時所經過接口的IP地址設置一個映像,當接口關閉連接會終止。這是因為當下一次撥號時未必是相同的接口地址(以后所有建立的連接都將關閉)。它有一個選項:

--to-ports [-port>]

指定使用的源端口范圍,覆蓋默認的SNAT源地址選擇(見上面)。這個選項只適用于指定了-p tcp或者-p udp的規則。

REDIRECT

只適用于nat表的PREROUTING和OUTPUT鏈,和只調用它們的用戶自定義鏈。它修改包的目標IP地址來發送包到機器自身(本地生成的包被安置為地址127.0.0.1)。它包含一個選項:

--to-ports [ ]

指定使用的目的端口或端口范圍:不指定的話,目標端口不會被修改。只能用于指定了-p tcp 或 -p udp的規則。

DIAGNOSTICS

診斷

不同的錯誤信息會打印成標準錯誤:退出代碼0表示正確。類似于不對的或者濫用的命令行參數錯誤會返回錯誤代碼2,其他錯誤返回代碼為1。

BUGS 

臭蟲

Check is not implemented (yet).

檢查還未完成。

COMPATIBILITY WITH IPCHAINS

與ipchains的兼容性

iptables和Rusty Russell的ipchains非常相似。主要區別是INPUT 鏈只用于進入本地主機的包,而OUTPUT只用于自本地主機生成的包。因此每個包只經過三個鏈的一個;以前轉發的包會經過所有三個鏈。其他主要區別是 -i 引用進入接口;-o引用輸出接口,兩者都適用于進入FORWARD鏈的包。當和可選擴展模塊一起使用默認過濾器表時,iptables是一個純粹的包過濾器。這能大大減少以前對IP偽裝和包過濾結合使用的混淆,所以以下選項作了不同的處理:

-j MASQ

-M -S

-M -L

關于linux系統中怎么設置iptables規則就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

渭南市| 马公市| 昌平区| 光泽县| 稻城县| 远安县| 滨州市| 庆元县| 盘锦市| 买车| 金秀| 梁河县| 宁都县| 西丰县| 绿春县| 焦作市| 芮城县| 马尔康县| 巴东县| 庆安县| 同德县| 澄迈县| 凤台县| 海南省| 林芝县| 时尚| 淳安县| 利津县| 沁阳市| 封丘县| 贵港市| 新津县| 驻马店市| 龙门县| 绿春县| 临澧县| 建湖县| 密山市| 新疆| 夏河县| 措美县|