使用vim /usr/sysconfig/iptables
iptables –> tables –> chains –>rules
iptables具有Filter,NAT,Mangle,Raw四種內建表
filter表示iptables的默認表,它具有三種內建鏈:
forward chain- 將數據轉發到本機的其它網卡上
NAT有三種內建的鏈:
Mangle表用於指定如何處理數據包,它能改變TCP頭中的Qos位,Mangle表具有5個內建鏈
raw表用戶處理異常,它具有2個內建鏈
#iptables -t filter -L 查看filter表
#iptables -t nat -L 查看nat表
#iptables -t mangel -L 查看mangel表
#iptables -t raw -L 查看Raw表
例如 以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則:
# iptables --list Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
num:編號
target:目標
prot:協議
source:數據包的源IP地址
destination:數據包的目標地址
#iptables –flush
iptables -A命令追加新規則,其中-A表示append,一般而言最後一條規則用於丟棄(drop)所有數據包,並且使用-A參數添加新規則,那麼就是無用的。
iptables –A chain firewall-rule
用於描述數據包的協議,源地址、目的地址、允許經過的網絡接口,以及如何處理這些數據包。
例如:接收目標端口為22的數據包
iptables –A INPUT –i etho –p tcp –dprot 22 –j ACCEPT
例如:拒絕所有其他數據包
iptables –A INPUT –j DROP
上例僅對接收的數據包進行過濾,而對於要發出的數據包卻沒有任何限制。
使用iptables –L
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh DROP all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
http://xxxxxx/Linuxjc/1151175.html TechArticle