|
|
应用于数据包的协议类型,可以是TCP UDP ICMP或ALL。!也可使用。
当使用-p tcp时,还可使用其他可以选项,以便允许进一步定义规则。选项包括:
——sport 允许指定匹配数据包源端口.port1:port ,表示port1和port2之间的所有端口
——dport 目的端口,和——sport雷同。
当使用-p !udp时,也有特殊的选项供使包括:
——sport,——dport,与-p tcp 相同,只不过用以用于UDP包。
使用-p icmp参数时,只有一个选项可用。
——icmp-type,允许在过滤规则中指定icmp类型。
-s –source 指定数据包的源地址。该参数后跟一个IP地址,一个带有sub-net mask的网络地址,或一个主机名。(不建议使用主机名)
-d,- - destination 数据包的目的地址,同-s.
-j,——jump 用于指定一个target,告诉规则将该匹配的数据包发送到该 target。Target可以是ACCEPT,DROP,QUEUE,RETURN.如果没有-j,那么不会对数据包进行任何操作,只是将计数器加1。
-i - - in-interface ,对于INPUT FORWARD PREROUTING链,该参数指定数据包到达服务器时所使用的端口。
-o - - out-interface,对于OUTPUT FORWARD POSTROUTING链,该参数指定数据包离开服务器时使用的端口。
3.) Iptables的命令target
创建规则的最后一步是指定Iptables对数据包的操作。只要某一规则匹配该数据包,就不会再有别的规则的操作。内建的target有:ACCEPT DROP QUEUE RETURN。
ACCEPT:允许数据包通过,到达目的地。
DROP:拒绝数据包通过,丢弃该包。
QUEUE:将数据包发送回到用户应用程序处理。
RETURN:不再根据当前链的其他规则来检查数据包,而是直接返回,继续被发送到其目的地址,或下一个链。
2.应用Iptables规则 示例
允许WWW
iptables –A INPUT –p tcp –dport 80 –j ACCEPT
|
该规则被添加到filter表的INPUT链,允许目的端口是80的数据包。
在内部接口上允许DHCP
iptables –A INPUT –i eth0 –p tcp - - sport 68 - -dport 67 ACCEPT
iptables –A INPUT –i eth0 –p ucp - -sport 68 - -dport 67 ACCEPT
|
以上同时允许TCP和UDP协议。
3.保存和恢复Iptables
保存Iptables
使用iptables-save可将现行的iptables规则保存,
iptables-save > iptables保存路径,如# iptables-save > /etc/iptables.up.rule
恢复Iptables
使用iptables-restore 可从配置文档恢复iptables表到现行iptables表.
iptables-restore < /etc/iptables.up.rule
|
|
|
