iptables 性能,iptables命令大全

  iptables 性能,iptables命令大全

  http://man.linuxde.net/iptables

  Iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。它可以直接配置,也可以通过许多前端和图形界面进行配置。

  语法iptables(选项)(参数)

  Option -t table:指定要操作的表;

  -A:向规则链添加一个条目;

  -D:从规则链中删除条目;

  -i:将条目插入到规则链中;

  -R:替换规则链中的条目;

  -L:显示规则链中的现有条目;

  -F:明确规则链中已有的条目;

  -Z:清除规则链中的包计算器和字节计数器;

  -N:创建新的自定义规则链;

  -P:定义规则链中的默认目标;

  -h:显示帮助信息;

  -p:指定要匹配的数据包协议类型;

  -s:指定要匹配的数据包的源ip地址;

  -j Target:指定要跳转的目标;

  -i网络接口:指定数据包进入本机的网络接口;

  -o Network interface:指定本地计算机用于数据包离开的网络接口。

  Iptables命令选项输入顺序:

  Iptables -t表名-A/I/D/R规则链名[规则号] -i/o网卡名-p协议名-s源IP/源子网- sport源端口-d目标IP/目标子网-D端口目标端口-j动作

  表格名称包括:

  Raw:高级功能,如URL过滤。Mangle:数据包修改(QOS),用于实现服务质量。Net:地址转换,用于网关路由器。过滤器:包过滤,用于防火墙规则。

  规则名称包括:

  输入链:处理输入数据包。输出链:处理输出数据包。转发链:处理转发的数据包。预路由链:用于目标地址转换(DNAT)。后置链:用于SNAT (SNAT)。

  行动包括:

  接受:接收数据包。丢弃:丢弃数据包。重定向:重定向,映射,透明代理。SNAT:斯纳特。目标地址转换。伪装:IP伪装(NAT),用于ADSL。日志:记录日志。

  清除现有的iptables规则,例如。

  防火墙

  iptables -X

  iptables -Z

  指定港口

  iptables-a input-s 127 . 0 . 0 . 1-d 127 . 0 . 0 . 1-jaccept #允许本地环回接口(即运行该机器以访问该机器)

  iptables-a input-m state-state established,related-j accept #允许建立或关联业务。

  Iptables -A OUTPUT -j ACCEPT #允许本机的所有外部访问。

  iptables-a input-p TCP-d port 22-j accept #允许访问端口22。

  iptables-a input-p TCP-d port 80-j accept #允许访问端口80。

  iptables-允许ftp服务的输入端口TCP-dport21-j accept # 21端口

  iptables-a input-p TCP-d port 20-j accept #允许FTP服务的20个端口。

  Iptables -A INPUT -j reject #禁止其他不允许的规则访问。

  Iptables -A FORWARD -j REJECT #禁止其他不允许的规则访问。

  屏蔽IP

  iptables-I input-s 123 . 45 . 6 . 7-jdrop #命令来阻止单个IP

  iptables-I input-s 123 . 0 . 0 . 0/8-jdrop #密封了整个段,也就是从123.0.0.1到123.255.255.254的命令。

  iptables-I input-s 124 . 45 . 0 . 0/16-jdrop #封装了IP段,也就是123.45.0.1到123.45.255.254的命令。

  iptables-I input-s 123 . 45 . 6 . 0/24-jdrop #封装123.45.6.1到123.45.6.254 IP段的命令是

  查看添加的iptables规则

  iptables-左n -v

  链输入(策略丢弃48106个数据包,2690K字节)

  pkts字节目标保护选择输入输出源目标

  5075 589K接受全低* 0.0.0.0/0 0.0.0.0/0

  191K 90M接受TCP-* * 0 . 0 . 0 . 0/0 0 . 0 . 0/0 TCP DPT:22

  1499K 133M接受TCP-* * 0 . 0 . 0 . 0/0 0 . 0 . 0/0 TCP DPT:80

  4364K 6351M接受所有-* * 0 . 0 . 0 . 0/0 0 . 0 . 0/0状态相关,已建立

  6256 327K接受icmp-* * 0 . 0 . 0 . 0/0 0 . 0 . 0/0

  链转发(策略接受0数据包,0字节)

  pkts字节目标保护选择输入输出源目标

  链输出(策略接受3382K数据包,1819M字节)

  pkts字节目标保护选择输入输出源目标

  5075 589K接受全部- * lo 0.0.0.0/0 0.0.0.0/0

  删除添加的iptables规则

  显示所有带有序列号的iptables,并执行:

  iptables -L -n -线路号码

  例如,要删除输入中序列号为8的规则,请执行:

  iptables -D输入8

iptables 性能,iptables命令大全