-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分别说明如下: ACCEPT: 将封包放行,进行完此处理动作后,将不再匹配其它规则,直接跳往下一个规则链(natostrouting)。 REJECT: 拦阻该封包,并传送封包通知对方,可以传送的...
比如你的例子:/sbin/iptables -A INPUT -p tcp –dport 80 -j ACCEPT 注意里面的INPUT参数,这个代表你的这条数据包的进行的 “进入” 操作! 那么你的这条数据包可以这么描述: 1.这是一条从外部进入内部本地服务器的数据。 2.数据包的目的(dport)地址是80,就是要访问我本地的80端口。 3.允许以上的数...
iptables [-t 表名] [-I/A 表名 规则编号] -[AD][规则链] [-p 协议名] [–dport 端口号] [-j 动作] 其中,方括号表示可选参数。 2. 表和链 iptables命令中的表和链是两个重要的概念。表用于组织规则,而链决定了规则的执行顺序。常用的表包括filter表、nat表和mangle表,常用的链包括INPUT链、FORWA...
# iptables -A INPUT -p tcp --sport 20:80 -j ACCEPT # iptables -A INPUT -p tcp --sport :80 -j ACCEPT 3.还可以按数据包速率和状态匹配 -m limit --limit匹配速率 如: -m limit --limit 50/s -j ACCEPT -m state --state 状态 如: -m state --state INVALID,RELATED -j ACCEPT 4....
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 192.168.1.2-192.68.1.6:1024-8000//将snat地址翻译到 192.168.1.2-192.168.1.6 端口从1024-8000上去。 5、 dnat 通常在prerouting链里生效,也可以在output链中生效(见《iptables简介2》hairpin模式)。参数--to-destination ...
4) 替换规则 iptables -t filter -R INPUT 6 -p tcp --dport 8080 -j DROP -R参数需指定要...
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 选项参数 -A, --append chain rule-specification 在指定链 chain 的末尾插入指定的规则 ...
iptables-IINPUT-s198.51.100.0-jDROP 上面的示例命令: 调用iptables程序 使用-I选项进行插入(insertion)。使用带有插入选项的规则会将其添加到链的开头,并将被率先应用。您还可以使用带-I选项的数字来指定链中的特定位置。 -s参数以及IP地址(198.51.100.0)表示源(source)。
$ iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 允许ping、route等数据包进入: $ iptables -A INPUT -p icmp -j ACCEPT 允许tcp协议目标端口22的数据包进入: $ iptables -A INPUT -p tcp --dport=22 -j ACCEPT 允许tcp协议来自IP地址1.2.3.4的数据包进入: ...