Linux平台上Iptables包过滤防火墙的实现

核心提示：语法 1. 对链的操作 建立一个新链 (-N)， 删除一个空链 (-X)，Linux平台上Iptables包过滤防火墙的实现， 改变一个内建链的原则 (-P)， 列出一个链中的规则 (-L)，我们也可以指定一个当前并不存在的网络接口，比如ppp0， 清除一个链中的所有规则 (-F)， 归零(zero) 一个链中所有规则

语法

1. 对链的操作

建立一个新链 (-N)。

删除一个空链 (-X)。

改变一个内建链的原则 (-P)。

列出一个链中的规则 (-L)。

清除一个链中的所有规则 (-F)。

归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。

2. 对规则的操作

加入(append) 一个新规则到一个链 (-A)的最后。

在链内某个位置插入(insert) 一个新规则(-I)，通常是插在最前面。

在链内某个位置替换(replace) 一条规则 (-R)。

在链内某个位置删除(delete) 一条规则 (-D)。

删除(delete) 链内第一条规则 (-D)。

3. 指定源地址和目的地址

通过--source/--src/-s来指定源地址(这里的/表示或者的意思，下同)，通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定ip地址：

a. 使用完整的域名，如“www.linuxaid.com.cn”；

b. 使用ip地址，如“192.168.1.1”；

c. 用x.x.x.x/x.x.x.x指定一个网络地址，如“192.168.1.0/255.255.255.0”;

d.

用x.x.x.x/x指定一个网络地址，如“192.168.1.0/24”这里的24表明了子网掩码的有效位数，这是

UNIX环境中通常使用的表示方法。

缺省的子网掩码数是32，也就是说指定192.168.1.1等效于192.168.1.1/32。

4. 指定协议

可以通过--protocol/-p选项来指定协议，比如-p tcp。

5. 指定网络接口将

可以使用--in-interface/-i或--out-interface/-o来指定网络接口。需要注意的是，对于INPUT链来说，只可能有-i，也即只会有进入的包；通理，对于OUTPUT链来说，只可能有-o，也即只会有出去的包。只有FORWARD链既可以有-i的网络接口，也可以有-o的网络接口。我们也可以指定一个当前并不存在的网络接口，比如ppp0，这时只有拨号成功后该规则才有效。