iptablesWord文档格式.docx
《iptablesWord文档格式.docx》由会员分享,可在线阅读,更多相关《iptablesWord文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
命令-A,--append
范例iptables-AINPUT...
说明新增规则到某个规则炼中,该规则将会成为规则炼中的最后一条规则。
命令-D,--delete
范例iptables-DINPUT--dport80-jDROP
iptables-DINPUT1
说明从某个规则炼中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。
命令-R,--replace
范例iptables-RINPUT1-s192.168.0.1-jDROP
说明取代现行规则,规则被取代后并不会改变顺序。
命令-I,--insert
范例iptables-IINPUT1--dport80-jACCEPT
说明插入一条规则,原本该位置上的规则将会往后移动一个顺位。
命令-L,--list
范例iptables-LINPUT
说明列出某规则炼中的所有规则。
命令-F,--flush
范例iptables-FINPUT
说明删除某规则炼中的所有规则。
命令-Z,--zero
范例iptables-ZINPUT
说明将封包计数器归零。
封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。
命令-N,--new-chain
范例iptables-Nallowed
说明定义新的规则炼。
命令-X,--delete-chain
范例iptables-Xallowed
说明删除某个规则炼。
命令-P,--policy
范例iptables-PINPUTDROP
说明定义过滤政策。
也就是未符合过滤条件之封包,预设的处理方式。
命令-E,--rename-chain
范例iptables-Ealloweddisallowed
说明修改某自订规则炼的名称。
常用封包比对参数:
参数-p,--protocol
范例iptables-AINPUT-ptcp
说明比对通讯协议类型是否相符,可以使用!
运算子进行反向比对,例如:
-p!
tcp,意思是指除tcp以外的其它类型,包含udp、icmp...等。
如果要比对所有类型,则可以使用all关键词,例如:
-pall。
参数-s,--src,--source
范例iptables-AINPUT-s192.168.1.1
说明用来比对封包的来源IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:
-s192.168.0.0/24,比对IP时也可以使用!
-s!
192.168.0.0/24。
参数-d,--dst,--destination
范例iptables-AINPUT-d192.168.1.1
说明用来比对封包的目的地IP,设定方式同上。
参数-i,--in-interface
范例iptables-AINPUT-ieth0
说明用来比对封包是从哪片网卡进入,可以使用通配字符+来做大范围比对,例如:
-ieth+表示所有的ethernet网卡,也可以使用!
-i!
eth0。
参数-o,--out-interface
范例iptables-AFORWARD-oeth0
说明用来比对封包要从哪片网卡送出,设定方式同上。
参数--sport,--source-port
范例iptables-AINPUT-ptcp--sport22
说明用来比对封包的来源埠号,可以比对单一埠,或是一个范围,例如:
--sport22:
80,表示从22到80埠之间都算是符合条件,如果要比对不连续的多个埠,则必须使用--multiport参数,详见后文。
比对埠号时,可以使用!
运算子进行反向比对。
参数--dport,--destination-port
范例iptables-AINPUT-ptcp--dport22
说明用来比对封包的目的地埠号,设定方式同上。
参数--tcp-flags
范例iptables-ptcp--tcp-flagsSYN,FIN,ACKSYN
说明比对TCP封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,第二部分则列举前述旗号中哪些有被设定,未被列举的旗号必须是空的。
TCP状态旗号包括:
SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)、PSH(强迫推送)等均可使用于参数中,除此之外还可以使用关键词ALL和NONE进行比对。
比对旗号时,可以使用!
参数--syn
范例iptables-ptcp--syn
说明用来比对是否为要求联机之TCP封包,与iptables-ptcp--tcp-flagsSYN,FIN,ACKSYN的作用完全相同,如果使用!
运算子,可用来比对非要求联机封包。
参数-mmultiport--source-port
范例iptables-AINPUT-ptcp-mmultiport--source-port22,53,80,110
说明用来比对不连续的多个来源埠号,一次最多可以比对15个埠,可以使用!
参数-mmultiport--destination-port
范例iptables-AINPUT-ptcp-mmultiport--destination-port22,53,80,110
说明用来比对不连续的多个目的地埠号,设定方式同上。
参数-mmultiport--port
范例iptables-AINPUT-ptcp-mmultiport--port22,53,80,110
说明这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。
注意:
在本范例中,如果来源端口号为80但目的地埠号为110,这种封包并不算符合条件。
参数--icmp-type
范例iptables-AINPUT-picmp--icmp-type8
说明用来比对ICMP的类型编号,可以使用代码或数字编号来进行比对。
请打iptables-picmp--help来查看有哪些代码可以用。
参数-mlimit--limit
范例iptables-AINPUT-mlimit--limit3/hour
说明用来比对某段时间内封包的平均流量,上面的例子是用来比对:
每小时平均流量是否超过一次3个封包。
除了每小时平均一次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后:
/second、/minute、/day。
除了进行封包数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。
参数--limit-burst
范例iptables-AINPUT-mlimit--limit-burst5
说明用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过5个(这是默认值),超过此上限的封包将被直接丢弃。
使用效果同上。
参数-mmac--mac-source
范例iptables-AINPUT-mmac--mac-source00:
00:
01
说明用来比对封包来源网络接口的硬件地址,这个参数不能用在OUTPUT和Postrouting规则炼上,这是因为封包要送出到网卡后,才能由网卡驱动程序透过ARP通讯协议查出目的地的MAC地址,所以iptables在进行封包比对时,并不知道封包会送到哪个网络接口去。
参数--mark
范例iptables-tmangle-AINPUT-mmark--mark1
说明用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过MARK处理动作,将该封包标示一个号码,号码最大不可以超过4294967296。
参数-mowner--uid-owner
范例iptables-AOUTPUT-mowner--uid-owner500
说明用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用root或其它身分将敏感数据传送出去,可以降低系统被骇的损失。
可惜这个功能无法比对出来自其它主机的封包。
参数-mowner--gid-owner
范例iptables-AOUTPUT-mowner--gid-owner0
说明用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。
参数-mowner--pid-owner
范例iptables-AOUTPUT-mowner--pid-owner78
说明用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上。
参数-mowner--sid-owner
范例iptables-AOUTPUT-mowner--sid-owner100
说明用来比对来自本机的封包,是否为某特定联机(SessionID)的响应封包,使用时机同上。
参数-mstate--state
范例iptables-AINPUT-mstate--stateRELATED,ESTABLISHED
说明用来比对联机状态,联机状态共有四种:
INVALID、ESTABLISHED、NEW和RELATED。
INVALID表示该封包的联机编号(SessionID)无法辨识或编号不正确。
ESTABLISHED表示该封包属于某个已经建立的联机。
NEW表示该封包想要起始一个联机(重设联机或将联机重导向)。
RELATED表示该封包是属于某个已经建立的联机,所建立的新联机。
例如:
FTP-DATA联机必定是源自某个FTP联机。
说明用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过MARK处理动作,将该封包标示一个号码,号码
升级会员 