iptables过滤命令小记

先将iptables命令会用到的组成部分根据man手册先写置前面,便于后续说明。

iptables [-t table] {-A|-C|-D} chain rule-specification
rule-specification = [matches...] [target]
match = -m matchname [per-natch-options]
target = -j targetname [per-target-options]

iptables可以理解为上层应用,通过下发相应的规则给内核,由底层去实现生效。

-t 参数用于指定所要操作的表。内核默认维护三张表:filter过滤表、nat地址转换表、mangle数据包修改表
本文只讲述数据包的过滤,因此只使用filter过滤表。该表是默认使用的表,固可以不显示使用-t参数

filter过滤表包含三个内建链表:INPUT(送往该设备的数据包)、FORWARD(不是送往该设备的数据包,待转)、OUTPUT(设备数据包发送出去)。也就是命令中chain所要指定的链表。

对这三个表的理解,可通过如下图所示:

 iptables过滤命令小记_第1张图片

每个链表由一条条的规则组成(即命令中的组成部分 rule-specification)
对于一个链表可以添加规则、删除规则、检测是否存在该条规则等操作,相应的命令选项如下:

-A, --append chain rule-specification 在指定链表chain末尾添加规则rule-specification
 (--append 可以代替 -A 选项使用)
-C, --check chain rule-specification 检测是否存在该规则
-D, --delete chain rule-specification 删除指定规则
-D, --delete chain rulenum   删除指定规则序号对应的那条规则
 上面的rulenum 可通过 --line-numbers 附加选项显示,每个链表的第一条规则对应序号1
-I, --insert chain [rulenum] rule-specification 向指定链表的对应规则序号前面插入规则,默认是序号1
-R, --replace chain rulenum rule-specification 替换规则
-L, --list [chain] 显示所有的规则,一般紧跟使用-n选项,避免转换成主机名形式,默认显示所有链表
 ([] 中括号表示该参数是可选的)
-S, --list-rules [chain] 显示所有的规则
-F, --flush [chain] 默认删除所有链表里的规则
-Z, --zero [chain, [rulenum]] 清空包和字节的个数 (可能理解有误)
-N, --new-chain chain 建立新的用户自定义链表
-X, --delete-chain [chain] 删除用户自定义的链表,且必须是空的,无规则的
-P, --policy chain target 指定该链表的默认操作
-E, --rename-chain old-chain new-chain 重命名用户自定义的链表名称


通用匹配
[!] -p, --protocol protocol   指定协议,如tcp、udp等,或对应的数字,可查看/etc/protocols。 数字0和‘all’表示所有的协议。可选参数 ! 表示取反的意思
[!] -s, --source address[/mask][,...] 指定源地址,可以是主机名也可以是IP形式的地址,主机名会先dns解析得到相应的IP地址再添加到过滤表当中
[!] -d, --destionation address[/mask][,...]
-j, --jump target 指定要进行的处理动作
-g, --goto chain  
[!] -i, --in-interface name 对于链表INPUT、FORWARD、PREROUTING的数据指定接口名
[!] -o, --out-interface name

显示匹配

通过-m选项指定所要加载的匹配模块名称,后面再跟相应的选项即可。
如过滤mac地址操作,指定模块mac,选项如下:
[!] --mac-source address    
匹配的源MAC地址,格式必须是XX:XX:XX:XX:XX:XX,只能用于过滤进入的数据
例子:过滤从XX:XX:XX:XX:XX:XX发过来的数据包
iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX



最后说下基本的 目标部分,通过参数-j指定
ACCEPT :允许
DROP :丢弃


源码下载地址:www.netfilter.org
推荐链接 
http://man.lupaworld.com/content/network/iptables-tutorial-cn-1.1.19.html
http://blog.chinaunix.net/uid-23069658-id-3160506.html

你可能感兴趣的:(工具)