iptables使用方法
『鳥哥的私房菜』之筆記
iptables [-AI 鏈名] [-io 網卡界面] [-p 協議] [-s 來源IP/網段] [-d 目標IP/網段] [--sport 端口範圍] [-dport 端口範圍] --syn [-m state/mac] [--state 狀態]/[-mac-source 00:00:00:00:00:00] -j [ACCEPT/DROP/REJECT]
iptables [-AI INPUT/OUTPUT/FORWARD] [-io eth0/eth1] [-p tcp/udp/icmp/all] [-s 192.168.1.10/192.168.1.0/24] [-d 192.168.2.10/192.168.2.0/24] [--sport 1024:65534] [-dport 21/ssh] --syn [-m state/mac] [--state ESTABLISHED/NEW/RELATED]/[-mac-source 00:00:00:00:00:00] -j [ACCEPT/DROP/REJECT]
解釋:
-AI 鏈名:針對某的鏈進行規則的 "插入" 或 "累加"
-A :新增加一條規則,該規則增加在原本規則的最後面。例如原本已經有四條規則,
使用 -A 就可以加上第五條規則!
-I :插入一條規則。如果沒有指定此規則的順序,預設是插入變成第一條規則。
例如原本有四條規則,使用 -I 則該規則變成第一條,而原本四條變成 2~5 號
鏈 :有 INPUT, OUTPUT, FORWARD 等,此鏈名稱又與 -io 有關,請看底下。
-io 網路介面:設定封包進出的介面規範
-i :封包所進入的那個網路介面,例如 eth0, lo 等介面。需與 INPUT 鏈配合;
-o :封包所傳出的那個網路介面,需與 OUTPUT 鏈配合;
-p 協定:設定此規則適用於哪種封包格式
主要的封包格式有: tcp, udp, icmp 及 all 。
-s 來源 IP/網域:設定此規則之封包的來源項目,可指定單純的 IP 或包括網域,例如:
IP :192.168.0.100
網域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。
若規範為『不許』時,則加上 ! 即可,例如:
-s ! 192.168.100.0/24 表示不許 192.168.100.0/24 之封包來源;
-d 目標 IP/網域:同 -s ,只不過這裡指的是目標的 IP 或網域。
--sport 埠口範圍:限制來源的埠口號碼,埠口號碼可以是連續的,例如 1024:65535
--dport 埠口範圍:限制目標的埠口號碼。
-m :一些 iptables 的外掛模組,主要常見的有:
state :狀態模組
mac :網路卡硬體位址 (hardware address)
--state :一些封包的狀態,主要有:
INVALID :無效的封包,例如資料破損的封包狀態
ESTABLISHED:已經連線成功的連線狀態;
NEW :想要新建立連線的封包狀態;
RELATED :這個最常用!表示這個封包是與我們主機發送出去的封包有關
-j :後面接動作,主要的動作有接受(ACCEPT)、丟棄(DROP)、拒絕(REJECT)及記錄(LOG)