iptables 中基本的命令参数
| 参数 | 作用 |
|---|---|
| -P | 设置默认策略 |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外 |
| -d | 匹配目标地址 |
| -i 网卡名称 | 匹配从这块网卡流入的数据 |
| -o 网卡名称 | 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如 TCP、UDP、ICMP |
| --dport num | 匹配目标端口号 |
| --sport num | 匹配来源端口号 |
- 在 iptables 命令后添加-L 参数查看已有的防火墙规则链
- 在 iptables 命令后添加-F 参数清空已有的防火墙规则链
- 把 INPUT 规则链的默认策略设置为拒绝
� 在进行路由选择前处理数据包(PREROUTING);
� 处理流入的数据包(INPUT);
� 处理流出的数据包(OUTPUT);
� 处理转发的数据包(FORWARD);
� 在进行路由选择后处理数据包(POSTROUTING)。
规则练习
- 向 INPUT 链中添加允许 ICMP 流量进入的策略规则
- 删除 INPUT 规则链中刚刚加入的那条策略(允许 ICMP 流量),并把默认策略设置为允许
- 将 INPUT 规则链设置为只允许指定网段的主机访问本机的 22 端口,拒绝来自其他所有主机的流量
- 向 INPUT 规则链中添加拒绝所有人访问本机 12345 端口的策略规则
- 向 INPUT 规则链中添加拒绝 192.168.10.5 主机访问本机 80 端口(Web 服务)的策略规则
- 向 INPUT 规则链中添加拒绝所有主机访问本机 1000~1024 端口的策略规则
编辑时间: 2025-03-02 22:03:33
作者: yanggenjie
版权声明: 本网站的所有内容均采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议(CC BY-NC-SA 4.0) 
授权。
您可以自由分享和修改这些内容,但必须遵守以下条件:
- 署名: 使用时必须注明作者及出处。
- 非商业性使用: 不得用于商业目的。
- 相同方式共享: 修改后的作品必须采用相同的授权协议分享。