linux命令exact,linux下iptables命令选项、条件匹配及动作目录说明及案例实训 (1)

iptables命令选项

-A,--append                  在所选择的链的最后添加一条规则

-D,--delete                  从所选链中删除规则

-R,--replace                 替换规则

-I,--insert                  向所选链中插入新规则

-L,--list                    显示所选链的所有规则，如果没有指定链，则显示表中的所有链

-F,--flush                   清空所选的链，如果没有指定链，则清空指定表中的所有链

-Z,--zero                    把指定链的所有计数器归零

-N,--new-chain               建立自定义的链

-X,--delete-chain            删除指定的用户自定义链，这个链必须没有被引用，如果被引用，在删除之前必须删除或者替换与之有关的规则

-P,policy                    为链设置默认策略

-E,--rename-chain            对自定义的链进行重命名

-v,--verbose                 显示详细信息

-x,--exact                   使--list输出中的计数器显示准确的数值，而不用K、M、G等估值

-n,--numeric                 使输出中的IP地址和端口以数值的形式显示

--line-numbers               显示出每条规则在相应链中的序号

-c,--set-counters            在创建或更改规则时设置计数器

--modprobe                   让iptables推测并装载要使用的模块

iptables条件匹配

-p,--protocol                 匹配指定的协议

-s,--src,--source             匹配数据包中的源IP地址

-d,--dst,--dstination         匹配数据包中的目的IP地址

-i,--in-interface             以数据包进入本地所使用的网络接口进行匹配

-o,--out-interface            以数据包离开本地所使用的网络接口进行匹配

-f,--fragment                 匹配一个被分片的包的第二片或及以后的部分

--sport,--source-port         匹配基于TCP协议数据包的源端口

--dport,--destination-port    匹配基于TCP协议数据包的目的端口

--tcp-flags                   匹配指定的TCP标记

--syn                         匹配那些SYN标记被设置而ACK和RST标记没有设置的数据包

--tcp-option                  匹配TCP协议数据包的头部信息

--icmp-type                   根据ICMP类型匹配数据包

--linit                       为linit match设置最大平均匹配速率，也就是单位时间内linit match可以匹配几个包，这个匹配操作必须由-m limit明确指定才能使用

--mac-source                  基于数据包的MAC源地址进行匹配。这个匹配操作必须由-m mac明确指定才能使用

--mark                        以数据包被设置的mark值来匹配。这个匹配操作必须由-m mark明确指定才能使用

--uid-owner                   按生成数据包的用户的ID(UID)来匹配外出的包。这个匹配操作必须由-m owner明确指定才能使用

--gid-owner                   按生成数据包的用户所在组的ID(GID)来匹配外出的包。这个匹配操作必须由-m owner明确指定才能使用

--pid-owner                   按生成数据包的进程的ID(UID)来匹配外出的包。这个匹配操作必须由-m owner明确指定才能使用

--sid-owner                   按生成数据包的会话的ID(SID)来匹配外出的包。这个匹配操作必须由-m owner明确指定才能使用

--state                       指定要匹配数据包的状态，一共有4种状态可以使用：INVALID、ESTABLISHED、NEW和RELATED。这个匹配操作必须由-m state明确指定才能使用

--tos                         根据TOS字段匹配数据包，这个匹配操作必须由-m tos明确指定才能使用

--ttl                         根据TTL的值来匹配数据包，这个匹配操作必须由-m ttl明确指定才能使用

iptables动作/目标

ACCEPT                        允许符合条件的数据包通过

DROP                          拒绝符合条件的数据包通过

LOG                           用来记录与数据包相关的信息

MARK                          设置mark值，这个值是一个无符号的整数

MASQUERADE                    和SNAT的作用相同，区别在于它不需要指定--to-source

SNAT                          源网络地址转换

DNAT                          目的网络地址转换

REDIRECT                      转发数据包一另一个端口

REJECT                        REJECT和DROP都会将数据包丢弃，区别在于REJECT除了丢弃数据包外，还向发送者返回错误信息

RETURN                        使数据包返回上一层

TOS                           用来设置IP头部中的Type Of Service字段

TTL                           用于修改IP头部中Time To Live字段的值

ULOG                          ULOG可以在用户空间记录被匹配的包的信息，这些信息和整个包都会通过netlink socket被多播

QUEUE                         为用户空间的程序或应用软件管理包队列

MIRROR                        颠倒IP头部中的源目地址，然后再转发包

iptables -A                  添加记录

#iptables -A INPUT -p icmp -j DROP             添加一条输入的ICMP的拒绝记录

iptables -D                  删除记录

#iptables -D OUTPUT -p icmp -j DROP            删除一条输出的ICMP的拒绝记录

iptables -F    &nbs

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888

联系：亿恩小凡

QQ：89317007

电话:0371-63322206

本文出自：亿恩科技【www.enkj.com】