68.iptables
iptables是管理linux防火墙安全规则的命令。
--help获得帮助信息。
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理
例1:不允许172.16.0.0/16的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
-s代表来源IP网段或IP地址,这里指来源于网络号为172.16.0.0掩码为255.255.0.0的地址。
-p代表规则应用在那个协议上,这里“-p udp”即应用规则在udp协议上。
-j代表将要应用的规则,这里“-j DROP”即将要丢弃数据。其他的动作还有ACCEPT接受,REJECT拒绝等。
iptables -L -n -v #查看定义规则的详细信息
详解COMMAND
1.链管理命令
-P
默认策略一般只有两种
iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的
比如:
iptables -P INPUT
-F: FLASH,清空规则链的(注意每个链的管理权限)
iptables -t nat -F
iptables -t nat -F
-N:NEW 支持用户新建一个链
iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X:
使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了
-E:用来Rename chain主要是用来给用户自定义的链重命名
-E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
iptables -Z :清空
2.规则管理命令
-A:追加,在当前链的最后新增一个规则
-I
例如: -I 3 :插入为第三条
-R
格式:iptables -R 3 …………
-D
3.查看管理命令 “-L”
附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息
-vv
-vvv :越多越详细
-x:在计数器上显示精确值,不做单位换算
--line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息