• linux菜鸟日记(5)


    iptables详细语法及配置:


    SNAT:源地址转换
    DNAT:目标地址转换
    PNAT:端口地址转换

    ----------------------------------
    iptables规则链

    路由以后到本机:INPUT
    本机出口:OUTPUT
    路由到本机以后转发:FORWARD
    路由前:PREROUTING
    路由后:POSTROUTING

    ---------------------------------
    防火墙的功能
    raw
    mangle:拆包修改
    nat:地址转换
    filter:过滤


    ---------------------------------

    filter

    处理动作
    ACCEPT:放行
    DROP:拒绝(直接丢弃包)
    REJECT:拒绝(向对方回应拒绝)

    ---------------------------------

    iptables 基本语法

    iptables [-t TABLE](指定表名 raw|mangle|nat| filter<默认> ) COMMAND CHAIN(链) [CRETIRIA](匹配条件) -j ACTION

    COMMAND:对链,或者链链中规则进行管理操作
    链中规则:
    -A 新加一条规则
    -I [*] 插入一条规则
    -R [*] 替换一条规则 OR , -R CRETERIA
    -D [*] 删除一条规则 OR , -D CRETERIA

    链:
    -N 新建一个自定义链
    -X 删除一个自定义空链
    -E 重命名一条自定义链
    -F 清空指定链,如果不指定链,则清空表中所有链
    -P 设定默认策略
    -Z 置零(每条规则,包括默认策略都有两条计数器,一个是被本规则匹配的所有数据包的个数,另一个是被本条数据包匹配的大小之和)


    -L 查看
    -v 查看详细
    -vv 查看更详细
    -vvv 查看更加详细
    -- line-numbers 查看行号
    -x 计数器的精确值
    -n 不要对地址和端口进行名称反解(显示数字地址)
    ------------------------------------

    iptabels服务脚本: /etc/rc.d/init.d/iptables
    脚本配置文件:/etc/sysconfig/iptables-config
    service iptables [status|start|stop|restart|save<保存>]

    iptables 规则的目录 /etc/sysconfig/iptables


    匹配条件:
    通用匹配
    -s 源地址
    -d 目标地址
    | IP
    | NETWORK/MASK
    | ! (除指定IP或者网段以外)
    -p [icmp|tcp|udp]
    -i IN_INTERFACE 数据包流入接口
    -o OUT_INTERFACE 数据包流出接口

    扩展匹配
    隐式扩展
    -p tcp [icmp|tcp|udp]
    |--sport 端口(必须为单个或者相连的端口)
    |--dport 目标端口(必须为单个或者相连的端口)
    |--tcp-flags [SYN,FIN,ACK,PSH,RST,URG](需要检查的位) [SYN,FIN,ACK,PSH,RST,URG](须为1的位)
    |--syn 相当于 --tcp-flags SYN,ACK,RTS,FIN SYN

    -p udp
    |--sport
    |--dport
    -p icmp
    |--icmp-type
    | 0:echo-reply 回应报文
    | 8:echo-request 请求报文

    显式扩展
    nitfilter扩展模块引入的扩展,用于指定新的匹配条件,通常需要额外的专用选项来定义
    -m state:用于使用连接状态检测
    --state
    NEW(新的链接),ESTABLISHED(建立的链接)
    RELATED(有关系的),INVALID(非法的)


    -------------------------------------


    CentOS 7 保存方法
    直接修改/etc/sysconfig/iptables保存
    /usr/libexec/iptables/iptables.init save

  • 相关阅读:
    [super dealloc]内存释放的先后顺序
    NSString的常用方法
    Xcode开发技巧之code snippets(代码片段)
    关于oc运行时 isa指针详解
    ios快捷键
    自动释放池的使用
    【字典树】统计难题
    数据结构实验之图论五:从起始点到目标点的最短步数(BFS)
    字典树模板
    数据结构实验之串三:KMP应用
  • 原文地址:https://www.cnblogs.com/zhangzhongming/p/6016820.html
Copyright © 2020-2023  润新知