1基本語法及引數解釋
iptables -t filter -a input -p tcp -s ip/net -d ip/net -j accept
nat output udp drop
mangle forward icmp reject
prerouting
postrouting
-i-d
-f-l
-s 源ip位址 -s 192.168.1.1 -s 192.168.1.0/24
-d 目的ip位址 -d 192.168.3.1 -d 192.168.3.0/24
-p 傳輸協議
--sport 源埠 -p tcp --sport 22:80
--dport 目的埠 -p tcp --dport 21
-i 網路介面名稱 匹配從哪個網路介面進來的資料報
-o 網路介面名稱 匹配從哪個網路介面出去的資料報
--tcp-flages tcp標記的名稱
tcp標記的名稱
syn 新建立的連線的資料報會有syn
ack 應答包會有ack標記
fin 結束標記位 斷開連線時會有的標記
rst 重置標記位
psh 推標記位 (程式插隊是)
urg 緊急標記位
mac 位址匹配
-m mac 源mac位址 目的mac位址
-m mac --mac-source 00:ab:22:99:ff:aa 目的mac位址
多埠匹配
-p tcp -m multiport --sports 21,22,25,80,1025:2000 源埠列表
--dports 目的埠列表
資料報的狀態
new 建立的連線
established 以建立的連線
related 與以建立的連線相關的連線
invalid 無效的連線
-m state --state new,established
new
三次握手的第一次握手
echo-request
udp通訊時,一方主動跟另一方通訊的所有包都是new
nmap -sa ip
時,所發的帶有ack標記的探測tcp埠的包,也是new狀態。也就說明了。tcp的new狀態除了有正常的合法的syn,tcp,new以外,還有其它的也是new狀態,但其它的並不合法。
established
tcp正常的通訊過程中除第一次握手外的所有通訊包
echo-reply
udp通訊時,一方被動跟另一方通訊的所有包都是established
訪問某一節點的tcp的埠,而對方並沒有開此埠時,雙方會返回乙個帶有rst標記位的tcp的回應。而這種回應是established狀態
related
ftp的資料傳輸的tcp連線的第一次握手
icmp的不可達訊息
當訪問某一節點的udp埠(12345),而對方並沒有開此埠時,對方會返回乙個icmp的不達訊息
(icmp 192.168.1.41 udp port 12345 unreachable)
nvalid
nmap -sf ip 總之invalid表示的是非法的包,往往不能放行。
ip位址範匹配
-m iprange --src-iprange 192.168.1.10-192.168.1.20 -j drop
--dst-oprange
iptables配置 Linux系統安全防火牆
iptables是用來設定 維護和檢查linux核心的ip分組過濾規則的。作為linux下的一款防火牆,它的功能十分強大,它有3個表,每個表內有規則鏈。iptables是用來設定 維護和檢查linux核心的ip分組過濾規則的。作為linux下的一款防火牆,它的功能十分強大,它有3個表,每個表內有規則...
linux學習筆記 iptables命令
iptables命令是linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置 語法 iptables 選項 引數 選項 t 表 指定要操縱的表 a 向規則鏈中新增條目 d 從規則鏈中刪除條目 i 向規則鏈中插入條目 r 替換規則鏈中的條目 l ...
linux網路 iptables與閘道器
最近做關wifi家庭閘道器專案,接觸到很多新的知識,本文對linux的iptables 閘道器中的nat轉換 dmz 埠對映和埠觸發等概念進行總結 linux iptables是linux2.6核心以後使用的一套網路工具,對其進行合理的配置,可實現防火牆 nat轉換等閘道器功能 好,那麼iptabl...