常見的兩個表即:“filter”與“nat”
iptables 指令語法如下:
iptables
[-t table]
command [match]
[target]
command選項 :
<chain :INPUT OUTPUT FORWARD>
-A chain:在chain中增添一條規則
-D chain:在chain中刪除一條規則
-I chain:在指定的位置插入1條規則
-R chain:替換規則列表中的某條規則
-L [chain]:列出chain中的規則
-F [chain]:清空chain中的規則
-X chain:清除預設表filter中使用者自定鏈中的規則
-P chain:爲chain指定新的默認策略 ACCEPT:未經禁止全部許可 DROP:未經許可全部禁止 iptables命令的可選match部分指定信息包與規則匹配所應具有的特徵(如源地址、目的地址、協議等)。
匹配選項:
-s <ip地址|網段|域名>:來源地址
-d <ip地址|網段|域名>:目標地址
-p <協議>:指定協議,可以是tcp/udp/icmp --dport <端口> :目標端口,需指定
-p --sport <端口>:來源端口,需指定-p -i :是指進入的方向的網卡設備
-o:代表出去的方向的網卡設備 目標是由規則指定的操作,對與那些規則相匹配的數據包執行這些操作。
目標選項:
由選項“-j”指定,包括以下目標: REJECT:拒絕 DROP:忽略 ACCEPT:許可
例1:拒絕192.168.0.1主機Ping本機。
iptables -t filter -A INPUT –s 192.168.0.1 –p icmp -j REJECT
例2:只充許192.168.0.0/24網段的主機可以通過telnet遠程登錄本機。
iptables -A INPUT –s ! 192.168.0.0 -p tcp --dport 23 -j REJECT