使用Linux系统Iptables防火墙

核心提示： 1.) Iptables的命令选项 iptables [-t tables] command option parameter target -A 在链尾添加一条规则 -C 将规则添加到用户定义链之前对其进行检查 -D 从链中删除一条规则 -E 重命名用户定义的链，不改变链本身 -F 清空

1.) Iptables的命令选项

iptables [-t tables] command option parameter target

-A 在链尾添加一条规则

-C 将规则添加到用户定义链之前对其进行检查

-D 从链中删除一条规则

-E 重命名用户定义的链，不改变链本身

-F 清空链，删除链上的所有规则

-I 在链中插入一条规则

-L 列出某个链上的规则，如iptables –L INPUT 列出INPUT链的规则

-N 创建一个新链

-P 定义某个链的默认策略

-R 替换链上的某条规则

-X 删除某个用户相关的链

-Z 将所有表的所有链的字节和数据包计数器清零

2.) Iptables的命令参数

-p –protocol

应用于数据包的协议类型，可以是TCP UDP ICMP或ALL。！也可使用。

当使用-p tcp时，还可使用其他可以选项，以便允许进一步定义规则。选项包括：

--sport 允许指定匹配数据包源端口.port1:port ,表示port1和port2之间的所有端口

--dport 目的端口，和--sport雷同。

当使用-p !udp时，也有特殊的选项供使包括：

--sport,--dport,与-p tcp 相同，只不过用以用于UDP包。

使用-p icmp参数时，只有一个选项可用。

--icmp-type，允许在过滤规则中指定icmp类型。

-s –source 指定数据包的源地址。该参数后跟一个IP地址，一个带有sub-net mask的网络地址，或一个主机名。(不建议使用主机名)

-d,- - destination 数据包的目的地址，同-s.

-j,--jump 用于指定一个target,告诉规则将该匹配的数据包发送到该 target。Target可以是ACCEPT,DROP,QUEUE,RETURN.如果没有-j,那么不会对数据包进行任何操作，只是将计数器加1。