相关文件: /etc/rc.d/init.d/iptables (启动脚本) /usr/sbin/iptables (配置工具) /usr/sbin/iptables-save (保存规则到/etc/sysconfig/iptables文件中) /usr/sbin/iptables-restore (恢复/etc/sysconfig/iptables文件中的规则)
# iptables [-t 表名] 命令 [链] [规则号] [条件] [规则] 说明:⑴ -t 表名 指定规则所在的表。表名可以是 filter ,nat ,mangle (小写) ⑵ 命令 (iptables的子命令) -A 在指定链中添加规则 -D 在指定链中删除指定规则 -R 修改指定链中指定规则 -I 在指定规则前插入规则 -L 显示链中的规则 -N 建立用户链 -F 清空链中的规则 -X 删除用户自定义链 -P 设置链的默认规则 -C 用具体的规则链来检查在规则中的数据包 -h 显示帮助 ⑶ 条件 –i 接口名 指定接收数据包接口 -o 接口名 指定发送数据包接口 -p [!]协议名 指定匹配的协议 (tcp , udp , icmp , all ) -s [!]ip地址 [/mask] 指定匹配的源地址 --sport [!]端口号 [:端口号] 指定匹配的源端口或范围 -d [!]ip地址 [/mask] 指定匹配的目标地址 --dport [!]端口号 [:端口号] 指定匹配的目标端口或范围 --icmp –type [!]类型号/类型名 指定icmp包的类型 注:8 表示request 0 表示relay (应答) -m port --multiport 指定多个匹配端口 limit --limit 指定传输速度 mac --mac-source 指定匹配MAC地址 sate --state NEW,ESTABLISHED,RELATED,INVALID 指定包的状态 注:以上选项用于定义扩展规则 -j 规则 指定规则的处理方法 ⑷ 规则 ACCEPT :接受匹配条件的数据包(应用于I NPUT ,OUTPUT ,FORWARD ) DROP :丢弃匹配的数据包(应用于INPUT ,OUTPUT ,FORWARD ) REJECT :丢弃匹配的数据包且返回确认的数据包 MASQUERADE :伪装数据包的源地址(应用于POSTROUTING且外网地址 为动态地址,作用于NAT ) REDIRECT :包重定向 (作用于NAT表中PREROUTING ,OUTPUT,使用要加上--to-port 端口号 ) |
