Iptables 命令使用舉例

2021-03-31 12:44:29 字數 3473 閱讀 1512

iptables

命令使用舉例 1

、鏈的基本操作

(1)清除所有規則

1)清除預設表

filter

中所有規則鏈中的規則

# iptables –f

2)

清除預設表

filter

中使用者自定鏈中的規則

# iptables –x

3)將指定鏈中所有規則的包位元組計數器清零

#iptables –z

(2)

設定鏈的預設策略

1)先允許,再禁止

用下面的命令初始化

# iptables –p input accept

# iptables –p output accept

# iptables –p forwardaccept

2)先禁止,再允許

用下面的命令初始化

# iptables –p input drop

# iptables –p output drop

# iptables –p forwarddrop

(3

)列出表

/鏈中的所有規則

# iptables –l –n

(4

)向鏈中新增規則。下面的語句用於開放網路介面

#iptables –a input –i lo –j accept

#iptables –a output –o lo –j accept

#iptables –a input –i eth0 –j accept

#iptables –a output –o eth0 –j accept

#iptables –a forward –i eth0 –j accept

#iptables –a forward –o eth0 –j accept

(5

)使用使用者自定義鏈

#iptables –n custom

#iptables –a custom –s 0/0 –d 0/0 –p icmp –j drop

#iptables –a input –s 0/0 –d 0/0 –j custom

2、設定基本的規則匹配(忽略目標動作)

(1)指定協議匹配

1)匹配指定的協議

#iptables –a input –p tcp

2)匹配指定協議之外的所有協議

#iptables –a input –p ! tcp

(2)

指定位址匹配

1)指定匹配的主機

#iptables –a input –s 192.168.0.1

2)指定匹配的網路

#iptables –a input –s 192.168.0.0/24

3)匹配指定主機之外的位址

#iptables –a input –s ! 192.168.0.1

4)匹配指定網路之外的網路

#iptables –a input –s ! 192.168.0.1/24

(3)

指定網路介面匹配

1)指定單一的網路介面匹配

#iptables –a input –i eth0

# iptables –a forward –o eth0

2)指定同型別的網路介面匹配

#iptables –a forward –o ppp+

(4)

指定埠匹配

1)指定單一的埠匹配

#iptables –a input –p tcp –sport w

#iptables –a input –p tcp –sport 80

#iptables –a input –p udp –sport 53

# iptables –a input –p udp –dport 53

2)匹配指定埠之外的埠

#iptables –a input –p tcp –dport !22

3)匹配指定的埠範圍

#ipbables –a input –p tcp –sport 22:80

4)匹配

icmp

埠和icmp

型別 #iptables –a input –p icmp-type 8

(5)

指定ip

碎片 #iptables –a forward –p tcp –s 192.168.0.0/24 –d 192.168.2.100 –dport 80 –f accept

#iptables –a forward –f –s 192.168.0.0/24 –d 192.168.2.100 –j accept

3、設定擴充套件的規則匹配(忽略目標動作)(1

)多埠匹配擴充套件

1)匹配多個源埠

#iptables –a input –p tcp –m multiport –source-port 22,53,80,110

2)匹配多個目的埠

#iptables –a input –p tcp –m multiport –destination-port 22,53,80,110

3)匹配多個埠

#iptables –a input –p tcp –m multiport –prot 22,53,80,110

(2

)指定tcp

匹配擴充套件

通過使用

--tcp-flags

選項可以根據

tcp包的標誌位進行過濾,第乙個引數為要檢查的標誌位;第二個引數是標誌位為

1的標誌

#iptables –a input –p tcp --tcp-flags syn,fin,ack syn

#iptables –p tcp --syn

表示syn

、ack

、fin

的標誌都要檢查,但是只有設定了

syn的才匹配

# iptables –a input –p tcp --tcp-flags all syn,ack

表示all

(syn

,ack

,fin

,rst

,usg

,psh

)的標誌都要檢查,但是只有設定了

syn和

ack的才匹配 (3

)limit

速率匹配擴充套件

1)指定單位時間內允許通過的資料報個數

# iptables –a input –m limit --limit 300/hour

表示限制每小時允許通過

300個資料報

2)指定觸發事件的閥值(預設值是5)

# iptables –a input –m limit --limit-burst 10

表示一次湧入的封包超過

10個將被直接丟棄

3)同時指定速率限制和觸發閥值

# iptables –a input –p icmp –m limit –limit 3/m –limit-burst 3

Iptables 命令使用舉例

1 鏈的基本操作 1 清除所有規則 1 清除預設表 filter 中所有規則鏈中的規則 iptables f 2 清除預設表 filter 中使用者自定鏈中的規則 iptables x 3 將指定鏈中所有規則的包位元組計數器清零 iptables z 2 設定鏈的預設策略 1 先允許,再禁止 用下面...

Iptables命令使用舉例

iptables 命令使用舉例 1 鏈的基本操作 1 清除所有規則 1 清除預設表 filter 中所有規則鏈中的規則 iptables f 2 清除預設表 filter 中使用者自定鏈中的規則 iptables x 3 將指定鏈中所有規則的包位元組計數器清零 iptables z 2 設定鏈的預設...

iptables 基本命令使用舉例

一 鏈的基本操作 1 清除所有的規則。1 清除預設表filter中所有規則鏈中的規則。iptables f 2 清除預設表filter中使用者自定鏈中的規則。iptables x iptables z 2 設定鏈的預設策略。一般有兩種方法。1 首先允許所有的包,然後再禁止有危險的包通過放火牆。ipt...