命令格式
iptables [-t table] COMMAND chain CRETIRIA -j ACTION
- -t table :3个filter nat mangle
- COMMAND:定义如何对规则进行管理
- chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
- CRETIRIA:指定匹配标准
- -j ACTION :指定如何进行处理
参数说明
| 参数 | 说明 | 示例 |
|---|---|---|
| -F | 清空规则链 | iptables -F |
| -L | 查看规则链 | iptables -L |
| -A | 追加规则 | iptables -A INPUT |
| -D | 删除规则 | iptables -D INPUT 1 |
| -R | 修改规则 | iptable -R INPUT 1 -s 192.168.120.0 -j DROP |
| -I | 在头部插入规则 | iptables -I INPUT 1 --dport 80 -j ACCEPT |
| -L | 查看规则 | iptables -L INPUT |
| -N | 新的规则 | iptables -N allowed |
| -V | 查看iptables版本 | iptables -V |
| -p | 协议(tcp/udp/icmp) | iptables -A INPUT -p tcp |
| -s | 匹配原地址,加" ! "表示除这个IP外 | iptables -A INPUT -s 192.168.1.1 |
| -d | 匹配目的地址 | iptables -A INPUT -d 192.168.12.1 |
| --sport | 匹配源端口流入的数据 | iptables -A INPUT -p tcp --sport 22 |
| --dport | 匹配目的端口流出的数据 | iptables -A INPUT -p tcp --dport 22 |
| -i | 匹配入口网卡流入的数据 | iptables -A INPUT -i eth0 |
| -o | 匹配出口网卡流出的数据 | iptables -A FORWARD -o eth0 |
| -j | 要进行的处理动作:DROP(丢弃),REJECT(拒绝),ACCEPT(接受),SANT(基于原地址的转换) | iptable -A INPUT 1 -s 192.168.120.0 -j DROP |
| --to-source | 指定SANT转换后的地址 | iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SANT --to-source 172.16.100.1 |
| -t | 表名(raw、mangle、nat、filter) | iptables -t nat |
| -m | 使用扩展模块来进行数据包的匹配(multiport/tcp/state/addrtype) | iptables -m multiport |
网友评论