1.顯示目前nat tables 中的設定
-t nat =>設定要檢視的tables 名稱(filter,nat,mangle)
-L =>列出設定值
-n =>顯示規則的編號
# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2.設定政策的各項參數
# /sbin/iptables [-t tables] [-P] [INPUT,OUTPUT,FORWARD| PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP]
參數說明:
-P :定義政策( Policy )。注意,這個 P 為大寫啊!
INPUT :封包為輸入主機的方向;
OUTPUT :封包為輸出主機的方向;
FORWARD:封包為不進入主機而向外再傳輸出去的方向;
PREROUTING :在進入路由之前進行的工作;
OUTPUT :封包為輸出主機的方向;
POSTROUTING:在進入路由之後進行的工作。
3.
# iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] \
> [-io interface] [-p tcp,udp,icmp,all] [-s IP/network] [--sport ports] \
> [-d IP/network] [--dport ports] -j [ACCEPT,DROP]
參數說明:
-A :新增加一條規則,該規則增加在最後面,例如原本已經有四條規則,
使用 -A 就可以加上第五條規則!
-I :插入一條規則,如果沒有設定規則順序,預設是插入變成第一條規則,
例如原本有四條規則,使用 -I 則該規則變成第一條,而原本四條變成 2~5
INPUT :規則設定為 filter table 的 INPUT 鏈
OUTPUT :規則設定為 filter table 的 OUTPUT 鏈
FORWARD:規則設定為 filter table 的 FORWARD 鏈
-i :設定『封包進入』的網路卡介面
-o :設定『封包流出』的網路卡介面
interface :網路卡介面,例如 ppp0, eth0, eth1....
-p :請注意,這是小寫呦!封包的協定啦!
tcp :封包為 TCP 協定的封包;
upd :封包為 UDP 協定的封包;
icmp:封包為 ICMP 協定、
all :表示為所有的封包!
-s :來源封包的 IP 或者是 Network ( 網域 );
--sport:來源封包的 port 號碼,也可以使用 port1:port2 如 21:23
同時通過 21,22,23 的意思
-d :目標主機的 IP 或者是 Network ( 網域 );
--dport:目標主機的 port 號碼;
-j :動作,可以接底下的動作;
ACCEPT :接受該封包
DROP :丟棄封包
LOG :將該封包的資訊記錄下來 (預設記錄到 /var/log/messages 檔案)
範例:
範例一:所有的來自 lo 這個介面的封包,都予以接受
[root@test root]# iptables -A INPUT -i lo -j ACCEPT
# 注意一下,因為 -d, --dport, -s, --sport 等等參數都沒有設定,這表示:
# 不論封包來自何處或去到哪裡,只要是來自 lo 這個介面,就予以接受!
# 這個觀念挺重要的,就是『沒有設定的規定,則表示該規定完全接受』的意思!
# 例如這個案例當中,關於 -s, -d...等等的參數沒有規定時!
範例二:來自 192.168.0.1 這個 IP 的封包都予以接受:
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.0.1 -j ACCEPT
# 新增一條規則,只要是來自於 192.168.0.1 的封包,不論他要去哪裡,
# 使用的是那個協定 (port) 主機都會予以接受的意思~
範例三:來自 192.168.1.0 這個 C Class 的網域的任何一部電腦,就予以接受!
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -j ACCEPT
# 這個是網域的寫法喔!稍微注意一下的是,在範例二當中我們僅針對一個 IP ,
# 至於這個範例當中,則是針對整個網域來開放吶!而網域的寫法可以是:
# 192.168.1.0/24 也可以是 192.168.1.0/255.255.255.0 都能夠接受喔!
範例四:來自 192.168.1.25 的封包都給他丟棄去!
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.25 -j DROP
範例五:只要是想進入本機的 port 21 的封包就給他丟棄
[root@test root]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
範例六:來自 192.168.0.24 這個 IP 的封包,想要到我的 137,138,139 埠口時,都接受
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.0.24 \
> --dport 137:139 -j ACCEPT
範例七:只要是接觸到我主機的 port 25 就將該封包記錄 (LOG) 下來
[root@test root]# iptables -A INPUT -p tcp --dport 25 -j LOG
# 還是請特別注意到『規則的順序排列』的問題喔!
-t nat =>設定要檢視的tables 名稱(filter,nat,mangle)
-L =>列出設定值
-n =>顯示規則的編號
# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2.設定政策的各項參數
# /sbin/iptables [-t tables] [-P] [INPUT,OUTPUT,FORWARD| PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP]
參數說明:
-P :定義政策( Policy )。注意,這個 P 為大寫啊!
INPUT :封包為輸入主機的方向;
OUTPUT :封包為輸出主機的方向;
FORWARD:封包為不進入主機而向外再傳輸出去的方向;
PREROUTING :在進入路由之前進行的工作;
OUTPUT :封包為輸出主機的方向;
POSTROUTING:在進入路由之後進行的工作。
3.
# iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] \
> [-io interface] [-p tcp,udp,icmp,all] [-s IP/network] [--sport ports] \
> [-d IP/network] [--dport ports] -j [ACCEPT,DROP]
參數說明:
-A :新增加一條規則,該規則增加在最後面,例如原本已經有四條規則,
使用 -A 就可以加上第五條規則!
-I :插入一條規則,如果沒有設定規則順序,預設是插入變成第一條規則,
例如原本有四條規則,使用 -I 則該規則變成第一條,而原本四條變成 2~5
INPUT :規則設定為 filter table 的 INPUT 鏈
OUTPUT :規則設定為 filter table 的 OUTPUT 鏈
FORWARD:規則設定為 filter table 的 FORWARD 鏈
-i :設定『封包進入』的網路卡介面
-o :設定『封包流出』的網路卡介面
interface :網路卡介面,例如 ppp0, eth0, eth1....
-p :請注意,這是小寫呦!封包的協定啦!
tcp :封包為 TCP 協定的封包;
upd :封包為 UDP 協定的封包;
icmp:封包為 ICMP 協定、
all :表示為所有的封包!
-s :來源封包的 IP 或者是 Network ( 網域 );
--sport:來源封包的 port 號碼,也可以使用 port1:port2 如 21:23
同時通過 21,22,23 的意思
-d :目標主機的 IP 或者是 Network ( 網域 );
--dport:目標主機的 port 號碼;
-j :動作,可以接底下的動作;
ACCEPT :接受該封包
DROP :丟棄封包
LOG :將該封包的資訊記錄下來 (預設記錄到 /var/log/messages 檔案)
範例:
範例一:所有的來自 lo 這個介面的封包,都予以接受
[root@test root]# iptables -A INPUT -i lo -j ACCEPT
# 注意一下,因為 -d, --dport, -s, --sport 等等參數都沒有設定,這表示:
# 不論封包來自何處或去到哪裡,只要是來自 lo 這個介面,就予以接受!
# 這個觀念挺重要的,就是『沒有設定的規定,則表示該規定完全接受』的意思!
# 例如這個案例當中,關於 -s, -d...等等的參數沒有規定時!
範例二:來自 192.168.0.1 這個 IP 的封包都予以接受:
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.0.1 -j ACCEPT
# 新增一條規則,只要是來自於 192.168.0.1 的封包,不論他要去哪裡,
# 使用的是那個協定 (port) 主機都會予以接受的意思~
範例三:來自 192.168.1.0 這個 C Class 的網域的任何一部電腦,就予以接受!
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -j ACCEPT
# 這個是網域的寫法喔!稍微注意一下的是,在範例二當中我們僅針對一個 IP ,
# 至於這個範例當中,則是針對整個網域來開放吶!而網域的寫法可以是:
# 192.168.1.0/24 也可以是 192.168.1.0/255.255.255.0 都能夠接受喔!
範例四:來自 192.168.1.25 的封包都給他丟棄去!
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.25 -j DROP
範例五:只要是想進入本機的 port 21 的封包就給他丟棄
[root@test root]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
範例六:來自 192.168.0.24 這個 IP 的封包,想要到我的 137,138,139 埠口時,都接受
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.0.24 \
> --dport 137:139 -j ACCEPT
範例七:只要是接觸到我主機的 port 25 就將該封包記錄 (LOG) 下來
[root@test root]# iptables -A INPUT -p tcp --dport 25 -j LOG
# 還是請特別注意到『規則的順序排列』的問題喔!
全站熱搜
留言列表
程式開發 (4)
