Linux的Iptables命令的基本知识(三)-常用匹配条件示例和执行动作
上一期给大家简单讲解了Linux的Iptables命令的常用命令示例,本期给大家讲解一下Linux的Iptables命令的基本知识-常用匹配条件示例和执行动作。
五、常用匹配条件示例:
1.-i:流出(接网卡)仅能用于PREROUTING,INPUT及FORWARD链上
例子:
iptables -A INPUT -i lo -j ACCEPT说明:允许回环接口访问所有数据,另外这-i一般会在nat功能使用到
2.-o:流入(接网卡)仅能用于FORWARD,OUTPUT及POSTROUTING链上
例子:
iptables -A OUTPUT -o eth0说明:设置从eth0流出
3.-s:来源地址(IP或者IP段也可以为空)
例子:
iptables -A INPUT -s 192.168.0.1/32 -j ACCEPT #允许192.168.0.1/32 一个IP
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT #允许192.168.0.0/24 一段IP说明:允许源地址是192.168.0.0/24网段的IP访问(已包括192.168.0.1/32在内)
4.-d:目标地址(IP或者IP段也可以为空)
例子:
iptables -A INPUT -d 192.168.0.1/32 -j ACCEPT #允许192.168.0.1/32 一个IP
iptables -A INPUT -d 192.168.0.0/24 -j ACCEPT #允许192.168.0.0/24 一段IP说明:允许目标地址是192.168.0.0/24网段的IP访问(已包括192.168.0.1/32在内)
5.-p:协议类型(udp、tcp、icmp也可以为空)一般是与(—sport:来源端口)和(—dport:目标端口)一起使用
例子1:
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 80 -j ACCEPT说明:允许tcp和udp协议的目标端口是80访问,如果是目标端口使用—sprot
例子2:
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT说明:允许icmp协议的访问,在服务器默认DROP的情况下其他设备可以ping通本服务器IP
例子3:
iptables -A INPUT -p udp -m udp --sport 10000 -j ACCEPT说明:允许源端口是10000的访问(udp协议为例子)
例子4:
iptables -A INPUT -p udp -m udp --sport 10000:20000 -j ACCEPT说明:允许源端口范围是10000-20000的访问(udp协议为例子)
例子5:
iptables -A INPUT -p udp -m udp --dport 10000 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT说明:与源端口同理,这里是目标端口(udp协议为例子)
例子6:
iptables -A INPUT -p udp -m udp --dport :10000 -j ACCEPT说明:允许目标端口小于10000的访问(udp协议为例子)
例子7:
iptables -A INPUT -p udp -m udp --dport 10000: -j ACCEPT说明:允许目标端口大于10000的访问(udp协议为例子)
6.以上的匹配条件一般是混合搭配使用
例子:
iptables -A INPUT -s 192.168.0.1/32 -p udp -m udp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
说明:
1、允许源端口192.168.0.1/32 udp协议目标端口是80访问
2、流入网卡是eth0的udp协议的53端口的目标地址转换成192.168.0.1(这种是DNAT的应用)
3、源目标地址是192.168.0.0/24这一段的从eth0流出
六、常用执行动作:
ACCEPT:允许、接收、放行
DROP:丢弃,不给对端回应任何信息
REJECT:拒绝并且给对端回应信息
SNAT:源地址转换
DNAT:目标地址转换
MASQUERADE:动态源地址转换(动态 IP 的情况下使用比如:ADSL)
LOG:记录
本期内容就这么多,下一期会手把手教您如何安装和使用iptables。
睿江云官网链接:www.eflycloud.com
