來自書籍：防線-企業(yè)Linux安全運維理念和實戰(zhàn)

Iptables一般規(guī)則如下：

Iptables?[-t?table]?command?[match]?target

一般，一條iptables規(guī)則包含五個元素：

表 命令 鏈 匹配 動作

1、表：

-t table 允許使用標(biāo)準(zhǔn)表之外的任何表。

有三種可用的表選項： filter、nat、mangle。該選項不是必選的，如果未指定表，默認(rèn)是filter表。

Filter表用于信息包過濾，包含INPUT、OUTPUT、FORWARD?鏈； Nat表用于要轉(zhuǎn)發(fā)的信息包，包含：PREROUTING、OUTPUT、POSTROUTING鏈； Managle表用于信息包及頭內(nèi)進(jìn)行了任何更改的過濾，包含一些規(guī)則來標(biāo)記用于高級路由的信息包及PREROUTING和OUTPUT鏈。

2、命令

-A(--append)：添加一條規(guī)則到鏈的末尾； -D(--delete)：刪除指定規(guī)則或指定編號的規(guī)則； -P(--policy)：設(shè)置鏈的默認(rèn)策略； -N(--new-chain)：用命令中所指定的名稱創(chuàng)建一個新鏈； -F(--flush)：刪除指定鏈中所有規(guī)則，如果未指定鏈名，刪除所有鏈中所有規(guī)則； -L(--list)：列出指定鏈中的所有規(guī)則； -R(--replace)：替換指定鏈中一條匹配的規(guī)則； -X(--delete-chain)：刪除指定的用戶定義鏈，若未指定，刪除所有用戶鏈； -C(--check)：檢查數(shù)據(jù)包是否與指定規(guī)則匹配； -Z(--zero)：將指定鏈中所有規(guī)則的byte計數(shù)器清零。

3、鏈

Filter（默認(rèn)鏈）：INPUT、OUTPUT、FORWARD Nat：PREROUTING、OUTPUT、POSTROUTING

4、匹配

-p(--protocol)：匹配協(xié)議（TCP、UDP、ICMP）等協(xié)議，可以用逗號分隔三種協(xié)議，添加多個。ALL是默認(rèn)匹配，用于所有協(xié)議，可以使用”!”表示不匹配； -s(--source)：根據(jù)信息包的源IP地址來進(jìn)行匹配。可以進(jìn)行范圍匹配，”!”表示不匹配。默認(rèn)源匹配與所有地址匹配。 -d(--destination)：根據(jù)信息包的目的地址匹配，可以進(jìn)行范圍匹配，”!”表示不匹配。 --sport：指定匹配規(guī)則的源端口或端口范圍； --dport：指定匹配規(guī)則的目的端口或端口范圍； -i：匹配單獨的網(wǎng)絡(luò)接口或某種類型的接口；

5、目標(biāo)（動作）

ACCEPT：規(guī)則匹配時，會允許通過； DROP：規(guī)則完全匹配時，會阻塞信息包，并不對其進(jìn)行進(jìn)一步處理； REJECT：與DROP類似，也會阻塞信息包，但是不會再服務(wù)器和客戶機(jī)上留下死socket。另外，REJECT會將錯誤信息發(fā)回給信息包的發(fā)送方。 RETURN：規(guī)則完全匹配時，RETURN目標(biāo)會讓該規(guī)則匹配的信息包停止遍歷包含該規(guī)則的鏈； LOG：將有關(guān)信息記錄日志； TOS：改寫數(shù)據(jù)包的TOS值；

轉(zhuǎn)載于:https://blog.51cto.com/oslibo/1857486

總結(jié)

以上是生活随笔為你收集整理的【iptables】编写iptables防火墙规则-1的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。