NetFilter/iptables更详细文档请看http://linux.dalouis.com/doc/iptables/
iptables -t filter -L INPUT -nv
查看表filter的INPUT链的规则
iptables -N UserChain
添加用户自定义链
iptables -X UserChain
删除用户自定义链
iptables -t filter -F
删除表filter的所有链的规则
iptables -t filter -D INPUT 5
删除规则
iptables -t filter -Z
计数器清零
iptables -t filter -P INPUT ACCEPT (DROP)
设置链的默认规则
iptables -t filter -A INPUT -p !tcp -s !192.168.0.2 -d 192.168.0.1 -i !eth0 -o !eth1 --sport 123 --dport 234 -j DROP
filter表的INPUT链的 最后添加一条规则,非tcp协议,源IP地址为非192.168.0.2,目的IP地址为192.168.0.1,源端口为123,目的端口为234,进入的接口不是eth0出去的接口不是eth1的包,DROP掉
iptables -t filter -I INPUT 5 -m mac --mac-soure XX:XX:XX:XX:XX:XX -m limit --limit 10/minute -j LOG --log-level 6 --log-prefix "MAC matching:"
filter表的INPUT链的第五行位置添加一条规则,匹配MAC源地址为XX:XX:XX:XX:XX:XX的包,做10/minute的速率的LOG记录,且记录等级为6,记录的首标识为“MAC matching“
iptables -t filter -R INPUT 5 -p udp -m multiport --sport 12,123,1234,12345 --dport 21,321,4321,54321 --reject-with icmp-port-unreachable
filter表的INPUT链的第五行替换为以下规则,当包匹配协议为udp源端口组为12,123,1234,12345,目的端口组为1,321,4321,54321时,返回一个错误信息为icmp-port-unreachable
iptables -t nat -A POSTROUTING -o ${PPP_IF} -j MASQUERADE
iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to ${NAT_IP}
PPPoE和LAN情况下启动NAT功能
iptables -t nat -A PREROUTING -d ${IP_ADDR} -p tcp --dport 80 -i ${PPP_IF} -j DNAT --to ${DMZ_WEB_IP}:80
端口映射
iptables -t filter -L INPUT -nv
查看表filter的INPUT链的规则
iptables -N UserChain
添加用户自定义链
iptables -X UserChain
删除用户自定义链
iptables -t filter -F
删除表filter的所有链的规则
iptables -t filter -D INPUT 5
删除规则
iptables -t filter -Z
计数器清零
iptables -t filter -P INPUT ACCEPT (DROP)
设置链的默认规则
iptables -t filter -A INPUT -p !tcp -s !192.168.0.2 -d 192.168.0.1 -i !eth0 -o !eth1 --sport 123 --dport 234 -j DROP
filter表的INPUT链的 最后添加一条规则,非tcp协议,源IP地址为非192.168.0.2,目的IP地址为192.168.0.1,源端口为123,目的端口为234,进入的接口不是eth0出去的接口不是eth1的包,DROP掉
iptables -t filter -I INPUT 5 -m mac --mac-soure XX:XX:XX:XX:XX:XX -m limit --limit 10/minute -j LOG --log-level 6 --log-prefix "MAC matching:"
filter表的INPUT链的第五行位置添加一条规则,匹配MAC源地址为XX:XX:XX:XX:XX:XX的包,做10/minute的速率的LOG记录,且记录等级为6,记录的首标识为“MAC matching“
iptables -t filter -R INPUT 5 -p udp -m multiport --sport 12,123,1234,12345 --dport 21,321,4321,54321 --reject-with icmp-port-unreachable
filter表的INPUT链的第五行替换为以下规则,当包匹配协议为udp源端口组为12,123,1234,12345,目的端口组为1,321,4321,54321时,返回一个错误信息为icmp-port-unreachable
iptables -t nat -A POSTROUTING -o ${PPP_IF} -j MASQUERADE
iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to ${NAT_IP}
PPPoE和LAN情况下启动NAT功能
iptables -t nat -A PREROUTING -d ${IP_ADDR} -p tcp --dport 80 -i ${PPP_IF} -j DNAT --to ${DMZ_WEB_IP}:80
端口映射