原理性的不解釋,這東西用了才會理解
命令格式
iptables [-t table] command [match] [target] |
基本元素
-表 -命令 -鏈 -匹配 -動作 |
基本表
filter、nat 和 mangle |
基本命令
command 說 明-A 或 --append 該命令將一條規(guī)則附加到鏈的末尾-D 或 --delete 通過用 -D 指定要匹配的規(guī)則或者指定規(guī)則在鏈中的位置編號,該命令從鏈中刪除該規(guī)則-P 或 --policy 該命令設(shè)置鏈的默認目標,即策略。所有與鏈中任何規(guī)則都不匹配的信息包都將被強制使用此鏈的策略-N 或 --new-chain 用命令中所指定的名稱創(chuàng)建一個新鏈-F 或 --flush 如果指定鏈名,該命令刪除鏈中的所有規(guī)則,如果未指定鏈名,該命令刪除所有鏈中的所有規(guī)則。此參數(shù)用于快速清除-L 或 --list 列出指定鏈中的所有規(guī)則-R 或 --replace 替換指定鏈中一條匹配的規(guī)則-X 或 --delete-chain 刪除指定用戶的的定義鏈,若沒有指定鏈,則刪除所有的用戶鏈-C 或 --check 檢查數(shù)據(jù)包是否與指定鏈的規(guī)則相匹配-Z 或 --zero 將指定鏈中所有規(guī)則的 byte 計數(shù)器清零 |
基本鏈
INPUT OUTPUT FORWARD PREROUTING POSTROUTING |
基本匹配
match 說 明-p 或 --protocol 該通用協(xié)議匹配用于檢查某些特定協(xié)議。協(xié)議示例有 TCP、UDP、ICMP、用逗號分隔的任何這三種協(xié)議的組合列表以及 ALL(用于所有協(xié)議)。ALL 是默認匹配??梢允褂?nbsp;! 符號表示不與該項匹配-s 或 --source 該源匹配用于根據(jù)信息包的源 IP 地址來與它們匹配。該匹配還允許對某一范圍內(nèi)的 IP 地址進行匹配,可以使用 ! 符號,表示不與 該項匹配。默認源匹配與所有 IP 地址匹配-d 或 --destination 該目的地匹配用于根據(jù)信息包的目的地 IP 地址來與它們匹配。該匹配還允許對某一范圍內(nèi) IP 地址進行匹配,可以使用 ! 符號表示不與該項匹配--sport 指定匹配規(guī)則的源端口或端口范圍--dport 指定匹配規(guī)則的目的端口或端口范圍-i 匹配單獨的網(wǎng)絡(luò)接口或某種類型的接口設(shè)置過濾規(guī)則 |
基本目標項
target 說 明 ACCEPT 當(dāng)信息包與具有 ACCEPT 目標的規(guī)則完全匹配時,會被接受(允許它前往目的地) DROP 當(dāng)信息包與具有 DROP 目標的規(guī)則完全匹配時,會阻塞該信息包,并且不對它做進一步處理。該目標被指定為 -j DROP REJECT 該目標的工作方式與 DROP 目標相同,但它比 DROP 好。和 DROP 不同,REJECT 不會在服務(wù)器和客戶機上留下死套接字。另外,REJECT 將錯誤消息發(fā)回給信息包的發(fā)送方。該目標被指定為 -j REJECT RETURN 在規(guī)則中設(shè)置的 RETURN 目標讓與該規(guī)則匹配的信息包停止遍歷包含該規(guī)則的鏈。如果鏈是如 INPUT 之類的主鏈,則使用該鏈的默認策略處理信息包。它被指定為 -jump RETURN LOG 表示將包的有關(guān)信息記錄入日志 TOS 表示改寫數(shù)據(jù)包的 TOS 值
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。