filter表负责过滤数据包,包含的规则链有INPUT、OUTPUT和FORWARD。 表间优先级:raw>mangle>nat>filter 2)五链介绍 INPUT匹配目标IP是本机的数据包。 OUTPUT出口数据包,一般不在此规则链上做配置。 FORWARD匹配流经本机的数据包。 PREROUTING用来修改目的地址,可以用来做DNAT,常见的用法就是内网端口映射到外网端口。 P...
:RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type 8 -j...
iptables -IINPUT-s192.168.1.200-ptcp--dport80-j REJECT 6、拒绝所有人访问本机4444到5555端口,输入命令: iptables -AINPUT-ptcp--dport4444:5555-j REJECT 和命令: iptables -AINPUT-pudp--dport4444:5555-j REJECT 7、删除INPUT链中的第2条策略,首先我们看一下防火墙策略中的第二条策略是什么“iptabl...
INPUT, 数据包流入口 FORWARD, 转发管卡 OUTPUT, 数据包出口 POSTROUTING, 路由后 2.iptables命令的语法规则 iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION -t table,是指操作的表,filter、nat、mangle或raw, 默认使用filter COMMAND,子命令,定义对规则的管理 chain, 指明链路 CRETIRIA, 匹配的条件或...
iptables -t filter -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -m multiport --dports 443,80 -j ACCEPT #-t:操作那个表 #-A:在表末追加规则;-I为表首插入规则、-D为删除规则 #INPUT:链名称;该规则在那条链上生效 #-j:数据包处理动作;比如接受、拒绝等 ...
1.input 用于处理进入路由器的数据包,即数据包目标IP地址是到达路由器一个接口的IP地址,经过路由器的数据包不会在input-chains处理。 2.forward 用于处理通过路由器的数据包 3.output 用于处理源于路由器并从其中一个接口出去的数据包 1、安装iptables防火墙 ...
如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了 INPUT 链后,任何进程都会收到它。 本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
iptables的规则里开放或禁用端口的时候,会看到有dport和sport,dport表示目的端口 ,sport表示来源端口。 但是在使用的时候要看到底是INPUT还是OUTPUT,因为进出的方向不一样,目的和来源也不一样。 INPUT: dport指本地,sport指外部 比如:/sbin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT ...
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCPET 11、拒绝所有访问 iptables -A INPUT -j DROP #这个一般放到最后,不然会对前面的规则造成影响。 12、根据时段限制访问 iptables -A INPUT -p tcp -m time --timestart 00:00 --timestop 02:00 -j DROP #这里的时间是指UTC时间...