iptables命令大家都經(jīng)常用到,但本文要講的是iptables命令的結(jié)構(gòu),對學(xué)習(xí)和記憶iptables命令非常有幫助!
命令行本節(jié)列出了iptables命令行的組成部分(跟在實(shí)用工具名iptables后面的內(nèi)容)。除了明確標(biāo)示出來的部分之外,實(shí)用工具 iptables對命令行參數(shù)的位置并沒有特殊的要求。本章中的示例反映的是一種普遍接受的語法,它可以讓命令行更加易于閱讀、理解和維護(hù)。不是所有命令 都包括全部的組成部分。
iptables命令行中的很多符號都有兩種形式:短格式(單個字母,前面還有一個連字符)和長格式(一個單詞,前面有兩個連字符)。為了簡潔起 見,大多數(shù)腳本使用短格式,而使用長格式的命令行顯得有些笨重。下面的兩條iptables命令行是一樣的效果,本節(jié)將它們作為示例:
表指定命令所操作的表的名稱:Filter、NAT還是Mangle。可以在任何iptables命令中指定表名。如果不指定表名,那么該命令操作 的就是Filter表。本章的大多數(shù)示例不指定表名,因此它們操作的是Filter表。用-ttablename或--tabletablename來指 定表。
命令用來說明命令行剩余部分的作用,比如添加或刪除規(guī)則、顯示規(guī)則或添加規(guī)則鏈。這個示例中的命令(-A和--append)將命令行指定的規(guī)則添加到指定的表和規(guī)則鏈中。15.7.1節(jié)列出了所有命令。
規(guī)則鏈指定規(guī)則所屬的規(guī)則鏈或命令操作的規(guī)則鏈的名稱。規(guī)則鏈有INPUT、OUTPUT、FORWARD、PREROUTING、 POSTROUTING,或者由用戶定義的規(guī)則鏈。在指定規(guī)則鏈時,直接將規(guī)則鏈的名字放進(jìn)命令行,不需要在前面放置任何連字符。本節(jié)開頭的示例操作的是 FORWARD規(guī)則鏈。
匹配條件 有兩種匹配條件:分組匹配條件(匹配網(wǎng)絡(luò)分組)和規(guī)則匹配條件(匹配已有規(guī)則)。
分組匹配條件/規(guī)則定義分組匹配條件用來識別網(wǎng)絡(luò)分組,并實(shí)現(xiàn)規(guī)則,對匹配條件的分組采取相應(yīng)的行動。分組匹配條件和動作的組合被稱為規(guī)則定義。規(guī) 則定義構(gòu)成了分組過濾的基礎(chǔ)。本節(jié)開頭的第一個示例使用的規(guī)則匹配條件是--in-interfaceeth1--out-interface eth0。第二個示例使用的是同一個條件,但用的是短格式:-i eth1-oeth0。這兩條規(guī)則都用來轉(zhuǎn)發(fā)設(shè)備eth1上接收到的分組,并將其通過設(shè)備eth0發(fā)送到網(wǎng)絡(luò)。
規(guī)則匹配條件規(guī)則匹配條件識別已有的規(guī)則。iptables命令能夠修改、刪除或?qū)⒁粭l新規(guī)則放置到與規(guī)則匹配條件指定的規(guī)則相鄰的地方。有兩種方 法可以指定某條已有規(guī)則:可以使用與曾經(jīng)用來建立規(guī)則相同的規(guī)則定義,也可以使用規(guī)則的序號(被稱為規(guī)則編號)。規(guī)則編號從1開始,它表示的是規(guī)則鏈中的 第一條規(guī)則,可在iptables-L(或者--line-numbers)的結(jié)果中顯示。下面的第一條命令將本節(jié)開頭所列的規(guī)則刪除。第二條命令將 INPUT規(guī)則鏈中編號為3的規(guī)則替換成另一條規(guī)則,將所有來自IP地址192.168.0.10的分組拒絕:
跳轉(zhuǎn)或目標(biāo)用來指定內(nèi)核對分組(它們匹配規(guī)則的所有匹配條件)所采取的動作。指定跳轉(zhuǎn)或目標(biāo)的方式為-jtarget或者--jumptarget。本節(jié)開頭的示例使用命令--jump ACCEPT和-jACCEPT,來指定目標(biāo)ACCEPT。
跳轉(zhuǎn)跳轉(zhuǎn)將控制轉(zhuǎn)移到同一個表中的不同規(guī)則鏈。下面的命令將一條規(guī)則添加(--append)到INPUT鏈,將使用TCP協(xié)議(--protocoltcp)的分組傳遞給用戶定義鏈tcp_rules(--jumptcp_rules):
當(dāng)分組經(jīng)過tcp_rules鏈的處理之后(假設(shè)還沒有被丟棄或拒絕),它將從剛跳轉(zhuǎn)的那條規(guī)則之后的規(guī)則繼續(xù)經(jīng)過INPUT鏈處理。
目標(biāo)目標(biāo)指定內(nèi)核對分組所采取的動作,最簡單的動作是ACCEPT、DROP和REJECT,下面的命令向FORWARD鏈中添加一條規(guī)則,將來自 FTP端口(/etc/services--iptables根據(jù)這個文件來確定使用哪個端口--顯示FTP使用的端口是23)的分組拒絕:
有些目標(biāo)(比如LOG)并不是最終的目標(biāo):在執(zhí)行該目標(biāo)之后,將控制傳遞給下一條規(guī)則。