文档介绍:NAME
iptables - IP包过滤器管理
总览
iptables -ADC 指定链的规则[-A 添加-D 删除-C 修改]
iptables - RI
iptables -D chain rule num[option]
iptables -LFZ 链名[选项]
iptables -[NX] 指定链
iptables -P chain target[options]
iptables -E old-chain-name new-chain-name
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。
每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处
理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用
户定义的链。
TARGETS
防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中
下一条规则检查;如果匹配,
用户定义的链名,或是某个专用值,EPT[通过], DROP[删除],
QUEUE[排队],或者 RETURN[返回]。
ACCEPT
表示让这个包通过。
DROP
表示将这个包丢弃。
QUEUE
表示把这个包传递到用户空间。
RETURN
表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的
链(的末端),或者遇到内建链的规则是 RETURN,包的命运将由链准则指定的
目标决定。
TABLES
当前有三个表(哪个表是当前表取决于内核配置选项和当前模块)。
t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块,这时
若模块没有加载,(系统)将尝试(为该表)加载适合的模块。
这些表如下:
filter
,这是默认的表,包含了内建的链INPUT(处理进入的包)、FORWORD(处理通
过的包)和OUTPUT(处理本地生成的包)。
nat
这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:PREROUTING
(修改到来的包)、OUTPUT(修改路由之前本地的包)、POSTROUTING
(修改准备出去的包)。
mangle
这个表用来对指定的包进行修改。它有两个内建规则:PREROUTING(修改路由之
前进入的包)和OUTPUT(修改路由之前本地的包)。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。
COMMANDS
这些选项指定执行明确的动作:若指令行下没有其他规定,该行只能指定一个选项.
对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区
分出该指令就行了。
A -append
在所选择的链末添加一条或更多规则。当源(地址)或者/与目的(地址)转换
为多于一个(多个)地址时,这条规则会加到所有可能的地址(组合)后面。
D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则
指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。
R -replace
从选中的链中取代一条规则。