Make it Possible

[Linux命令]iptables

《[Linux命令]iptables》
相关概念请参阅朱双印的博客

命令总览

  --append  -A chain        添加到链
  --check   -C chain        检查规则是否存在
  --delete  -D chain        删除链中匹配的规则
  --delete  -D chain rulenum
                删除链中第几条规则(从1开始)
  --insert  -I chain [rulenum]
                在链中指定位置添加规则
  --replace -R chain rulenum
                替换链中指定位置的规则
  --list    -L [chain [rulenum]]
                列出指定链中或所有链中的规则
  --list-rules -S [chain [rulenum]]
                打印出指定链或所有链中的规则
  --flush   -F [chain]      删除指定链中或所有链中的规则
  --zero    -Z [chain [rulenum]]
                Zero counters in chain or all chains
  --new     -N chain        新建一条链
  --delete-chain
            -X [chain]      删除自定义链
  --policy  -P chain target
                改变链的策略
  --rename-chain
            -E old-chain new-chain
                改变链的名字

选项

 --protocol         -p proto                protocol: by number or name, eg. `tcp'
 --source           -s address[/mask][...]  source specification
 --destination      -d address[/mask][...]  destination specification
 --in-interface     -i input name[+]        network interface name ([+] for wildcard)
 --jump             -j target               target for rule (may load target extension)
 --goto             -g chain                jump to chain with no return
 --out-interface    -o output name[+]       network interface name ([+] for wildcard)
 --table            -t table                table to manipulate (default: `filter')
 --line-numbers                             print line numbers when listing
 --fragment         -f                      match second or further fragments only

自带链

    INPUT       处理输入数据包。
    OUTPUT      处理输出数据包。
    PORWARD     处理转发数据包。
    PREROUTING  用于目标地址转换(DNAT)。
    POSTOUTING  用于源地址转换(SNAT)。

表名

    raw     高级功能,如:网址过滤。
    mangle  数据包修改(QOS),用于实现服务质量。
    net     地址转换,用于网关路由器。
    filter  包过滤,用于防火墙规则。

常用命令

查看现有规则:
iptables -L -n -v --line-numbers
放行指定端口:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
禁止其他链接访问:
iptables -A INPUT -j REJECT

iptables -P INPUT REJECT
屏蔽ip:
iptables -I INPUT -s 123.4.56.7 -j REJECT

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据