Linux平台上Iptables包過濾防火牆的實現

來源:互聯網
上載者:User

  文法

  1. 對鏈的操作

  建立一個新鏈 (-N)。

  刪除一個空鏈 (-X)。

  改變一個內建鏈的原則 (-P)。

  列出一個鏈中的規則 (-L)。

  清除一個鏈中的所有規則 (-F)。

  歸零(zero) 一個鏈中所有規則的封包位元組(byte) 記數器 (-Z)。

  2. 對規則的操作

  加入(append) 一個新規則到一個鏈 (-A)的最後。

  在鏈內某個位置插入(insert) 一個新規則(-I),通常是插在最前面。

  在鏈內某個位置替換(replace) 一條規則 (-R)。

  在鏈內某個位置刪除(delete) 一條規則 (-D)。

  刪除(delete) 鏈內第一條規則 (-D)。

  3. 指定源地址和目的地址

  通過--source/--src/-s來指定源地址(這裡的/表示或者的意思,下同),通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:

  a. 使用完整的網域名稱,如“www.linuxaid.com.cn”;

  b. 使用ip地址,如“192.168.1.1”;

  c. 用x.x.x.x/x.x.x.x指定一個網路地址,如“192.168.1.0/255.255.255.0”;

  d.

  用x.x.x.x/x指定一個網路地址,如“192.168.1.0/24”這裡的24表明了子網路遮罩的有效位元,這是

  UNIX環境中通常使用的表示方法。

  預設的子網路遮罩數是32,也就是說指定192.168.1.1等效於192.168.1.1/32。

  4. 指定協議

  可以通過--protocol/-p選項來指定協議,比如-p tcp。

  5. 指定網路介面將

  可以使用--in-interface/-i或--out-interface/-o來指定網路介面。需要注意的是,對於INPUT鏈來說,只可能有-i,也即只會有進入的包;通理,對於OUTPUT鏈來說,只可能有-o,也即只會有出去的包。只有FORWARD鏈既可以有-i的網路介面,也可以有-o的網路介面。我們也可以指定一個當前並不存在的網路介面,比如ppp0,這時只有撥號成功後該規則才有效。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。