iptables 防火墙配置

jiang870320

               
       
       
       
       
       
       
                NAT
TABLE：
PREROUTING、POSTROUTING、OUTPUT
iptables的组成  MANGLE
TABLE: PREROUTING、POSTROUTING、OUTPUT
、INPUT、FORWARD
                     FILTER TABLE：
INPUT、OUTPUT、FORWARD
       
       
       
       
       
       
iptables常用命令：
－A
：iptables
-A INPUT ...
-D
：iptables
-D INPUT –dport 80 -j DROP
         iptables
-D INPUT 1
-R
(--replace):iptables -R INPUT 1 -s 192.168.1.88 -j DROP
(#取代现行规则，规则取代后并不会改变顺序)
－I,－－insert：
iptables -I
INPUT 1 –dport 80 -j ACCEPT
-L,--list
:iptables -L INPUT (#列出某规则链中的所有规则)
－F,－－flush:iptables
-F INPUT
-Z,--zero
:iptables -Z INPUT
-N,--new
chain :iptables -N xiaowei
-X,--delete
chain:iptables -X xiaowei
-P,--policy
:iptables -P INPUT DROP (#定义过滤政策，也就是未符合过滤条件的封包，预设的处理方式)
－E,--rename
chain :iptables -E xiaowei huanfeng (#修改某自定规则链的名字)
常用的封包参数
参数：
－p,--protocol:iptables
-A INPUT -s 192.168.1.1 -p tcp 80 -j ACCEPT
-s,--src
-d,--dst:iptables
-A OUTPUT -d 192.168.1.1 -j ACCEPT
-i,--in-interface:iptables
-A INPUT -s 220.181.6.19 -i eth0 -j DROP
-o,--out-interface:iptables
-A OUTPUT -d 192.168.1.1 -o eth0 -j ACCEPT
--sport,--source
port:iptables -A INPUT -p tcp –sport 22
--dport,--destination
port:iptables -A INPUT -p tcp --dport 80
--multiport:iptables
-A INPUT -p tcp -m multiport –dport 22,53,80,110
--tcp-flags:iptables
-p tcp –tcp-flag SYN,FIN,ACK,ACK SYN
-syn:iptables
-p tcp -syn
--icmp-type:iptables
-A INPUT -p icmp –icmp-type 8
(#对比ICMP的类型编号，可以使用代码或数字编号来进行对比)
-m
limit --limit
（很重要）
iptables
-A INPUT -p icmp -m limit –limit 12/minute -j REJECT
--limit-burst
iptables
-A INPUT -p icmp -m limit –limit-burst 5
-m
mac –mac-source
iptables
-A INPUT -m mac –mac-source 00:22:3f:25:8f:46 -j DROP
(#用来对比封包来源网络接口的硬件地址，这个参数不用在OUTPUT和POSTROUTING规则链上)
-mark
:iptables -t mangle -A INPUT -m mark –mark 1
-m
owner –uid-owner
iptables
-A OUTPUT -m owner –gid-owner 0
-m
owner –pid-owner
iptables
-A OUTPUT -m owner –pid-owner 78
-m
owner –sid-owner
iptables
-A OUTPUT -m owner –sid-owner 100
-m
state –state
iptables
-A INPUT -m state –state RELATED,ESTABLISHED(NEW,INVALID)
INVALID:表示该封包的联机编号无法辨别或编号不正确
ESTABLISHED：表示该封包属于某个已经建立的联机
NEW：表示该封包想要起始一个联机
RELATED：表示该封包是属于某个已经建立的联机，所建立的新联机
-j
用来指定要进行的处理动作，常用的处理动作包括：ACCRPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK

               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u3/94517/showart_1900276.html