<Sebelumnya | Konten | Selanjutnya>
Aturan
Setiap aturan dinyatakan sebagai Kondisi -j tindakan action_options. Jika beberapa kondisi dijelaskan dalam aturan yang sama, maka kriterianya adalah konjungsi (logis DAN) dari kondisi, yang setidaknya seketat masing-masing kondisi individu.
Grafik -p protokol kondisi cocok dengan bidang protokol paket IP. Nilai yang paling umum adalah tcp, udp, icmp, dan icmpv6. Kondisi ini dapat dilengkapi dengan kondisi pada port TCP, dengan klausa seperti: --sumber-port pelabuhan dan --pelabuhan tujuan pelabuhan.
Meniadakan Kondisi Awalan suatu kondisi dengan tanda seru meniadakan kondisi tersebut. Misalnya, meniadakan kondisi pada -p opsi cocok dengan "paket apa pun dengan protokol berbeda dari yang ditentukan." Mekanisme negasi ini juga dapat diterapkan pada semua kondisi lainnya.
Meniadakan Kondisi Awalan suatu kondisi dengan tanda seru meniadakan kondisi tersebut. Misalnya, meniadakan kondisi pada -p opsi cocok dengan "paket apa pun dengan protokol berbeda dari yang ditentukan." Mekanisme negasi ini juga dapat diterapkan pada semua kondisi lainnya.
Grafik -s alamat or -s jaringan/topeng kondisi cocok dengan alamat sumber paket. Sejalan dengan itu, -d alamat or -d jaringan/topeng cocok dengan alamat tujuan.
Grafik -i antarmuka kondisi memilih paket yang berasal dari antarmuka jaringan yang diberikan. -o antarmuka
memilih paket yang keluar pada antarmuka tertentu.
Grafik --negara negara kondisi cocok dengan status paket dalam koneksi (ini memerlukan jalur ipt_ modul kernel, untuk pelacakan koneksi). NS BARU state menggambarkan sebuah paket yang memulai koneksi baru, MAPAN cocok dengan paket milik koneksi yang sudah ada, dan TERKAIT cocok dengan paket yang memulai koneksi baru yang terkait dengan yang sudah ada (yang berguna untuk ftp-data koneksi dalam mode "aktif" dari protokol FTP).
Ada banyak pilihan yang tersedia untuk iptables dan tabel ip6 dan menguasai semuanya membutuhkan banyak studi dan pengalaman. Namun, salah satu opsi yang paling sering Anda gunakan adalah yang memblokir lalu lintas jaringan berbahaya dari sebuah host atau jangkauan host. Misalnya, untuk diam-diam memblokir lalu lintas masuk dari alamat IP 10.0.1.5 dan 31.13.74.0/24 subnet kelas C:
# iptables -A INPUT -s 10.0.1.5 -j JATUH
# iptables -A INPUT -s 31.13.74.0/24 -j JATUHKAN
# iptables -n -L MASUKAN
Rantai INPUT (kebijakan ACCEPT)
target prot opt sumber tujuan
JATUHKAN semua -- 10.0.1.5 0.0.0.0/0 HAPUS semua -- 31.13.74.0/24 0.0.0.0/0
Lain yang umum digunakan iptables perintah adalah untuk mengizinkan lalu lintas jaringan untuk layanan atau port tertentu. Untuk mengizinkan pengguna terhubung ke SSH, HTTP, dan IMAP, Anda dapat menjalankan perintah berikut:
# iptables -A INPUT -m state --state BARU -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -m state --state BARU -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -m state --state BARU -p tcp --dport 143 -j ACCEPT
# iptables -n -L MASUKAN
Rantai INPUT (kebijakan ACCEPT)
target | perlindungan | memilih | sumber | tujuan | ||||
DROP | semua | -- | 10.0.1.5 | 0.0.0.0/0 | ||||
DROP | semua | -- | 31.13.74.0/24 | 0.0.0.0/0 | ||||
MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negara | BARU | tcp | dpt:22 |
MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negara | BARU | tcp | dpt:80 |
MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negara | BARU | tcp | dpt:143 |
Itu dianggap sebagai komputer yang bagus kebersihan untuk membersihkan aturan lama dan tidak perlu. Cara termudah untuk menghapus iptables aturan adalah untuk merujuk aturan dengan nomor baris, yang dapat Anda ambil dengan
itu --nomor-baris pilihan. Namun berhati-hatilah: menjatuhkan aturan akan memberi nomor ulang semua aturan yang muncul lebih jauh dalam rantai.
# iptables -n -L INPUT --baris-angka
Rantai INPUT (kebijakan ACCEPT)
jumlah target prot opt sumber tujuan
1 | DROP | semua | -- | 10.0.1.5 | 0.0.0.0/0 | |
2 | DROP | semua | -- | 31.13.74.0/24 | 0.0.0.0/0 | |
3 | MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | status BARU tcp dpt:22 |
4 | MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | status BARU tcp dpt:80 |
5 | MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | status BARU tcp dpt:143 |
# iptables -D MASUKAN 2
# iptables -D MASUKAN 1
# iptables -n -L INPUT --baris-angka
Rantai INPUT (kebijakan ACCEPT)
jumlah target prot opt sumber tujuan
1 | MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | status BARU tcp dpt:22 |
2 | MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | status BARU tcp dpt:80 |
3 | MENERIMA | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | status BARU tcp dpt:143 |
Ada kondisi yang lebih spesifik, tergantung pada kondisi umum yang dijelaskan di atas. Untuk informasi lebih lanjut lihat tabel ip(8) dan tabel ip6(8)