iptables命令

1.定义预设策略

iptables [-t nat] -P [INPUT, OUTPUT, FORWARD, PREROUTING, OUTPUT,POSTROUTING] [ACCEPT, DROP]

-P:表示定义预设策略.

ACCEPT,DROP:接受或丢弃.

-t:指明定义的类型，默认为filter表，-t nat表示定义nat表。

INPUT, OUTPUT, FORWARD：filter表中的链.

PREROUTING, OUTPUT,POSTROUTING:nat表中的链.

2.针对ip和协议进行限制

iptables [-AI 链] [-io 网卡] [-p 协议] [-s 来源ip/网域] [--sport 端口范围] [-d 目标ip/网域] [--dport 端口范围] -j [ACCEPT, DROP]

A:在最后添加策略.

I:将策略插入到第一条.

i:接受数据报的网卡.

o:发送数据报的网卡.

p:指定使用的协议.tcp,udp,icmp,all.

s:数据报的来源，IP:192.168.1.1或者网域:192.168.1.0/24

sport:数据报来源端口范围,指定1:1023表示从1-1023.

d:数据报的目标，IP:192.168.1.1或者网域:192.168.1.0/24

dport:数据报目标端口范围,指定1:1023表示从1-1023.

j:指定符合条件时发生的动作.主要有:ACCEPT,DROP,LOG.

例:iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -d 192.168.1.1

--dport 53 -j DROP //拒绝给192.168.1.0/24提供dns服务

3.针对数据报状态设定

iptables -A INPUT -m state --state 状态 -j [ACCEPT,DROP,LOG]

--state:后接数据报状态：

        INVALID:无效数据报

        ESTABLISHED:连结成功的连线
        NEW:请求建立连接
        RELATED:表示数据报与我们发出去的数据报有关系

例:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //接受数据报状态为RELATED和ESTABLISHED数据报．

4.针对MAC地址设定

iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j [ACCEPT,DROP,LOG]

5.针对icmp进行限制

iptables -A INPUT -p icmp --icmp-type 类型 -j [ACCEPT,DROP,LOG]

6.备份与恢复设定

iptables-save > bkfile

iptables-restore < bkfile

7.察看防火墙现有的设定

iptables [-t tables] -L -nv

t:用来指定表，不指定默认为filter

-L:显示目前table的设定

-n:不进行反向解析ip地址到主机名

-v:列出通过的数据报数量

转载于:https://www.cnblogs.com/daviyang/archive/2008/08/16/1859290.html