<Sebelum | Contents [show] | Seterusnya>
Peraturan
Setiap peraturan dinyatakan sebagai syarat -j tindakan tindakan_pilihan. Jika beberapa syarat diterangkan dalam peraturan yang sama, maka kriterianya ialah konjungsi (logik DAN) syarat, yang sekurang-kurangnya sama ketatnya dengan setiap syarat individu.
. -p protokol keadaan sepadan dengan medan protokol paket IP. Nilai yang paling biasa ialah tcp, udp, icmp, dan icmpv6. Keadaan ini boleh dilengkapkan dengan syarat pada port TCP, dengan klausa seperti --source-port pelabuhan and --Pelabuhan destinasi pelabuhan.
Meniadakan Syarat Memberi awalan keadaan dengan tanda seru menafikan syarat tersebut. Sebagai contoh, menafikan syarat pada -p pilihan sepadan dengan "mana-mana paket dengan protokol yang berbeza daripada yang ditentukan." Mekanisme penafian ini boleh digunakan untuk semua keadaan lain juga.
Meniadakan Syarat Memberi awalan keadaan dengan tanda seru menafikan syarat tersebut. Sebagai contoh, menafikan syarat pada -p pilihan sepadan dengan "mana-mana paket dengan protokol yang berbeza daripada yang ditentukan." Mekanisme penafian ini boleh digunakan untuk semua keadaan lain juga.
. -s alamat or -s rangkaian/topeng keadaan sepadan dengan alamat sumber paket. Selaras dengan itu, -d alamat or -d rangkaian/topeng sepadan dengan alamat destinasi.
. -i antara muka keadaan memilih paket yang datang dari antara muka rangkaian yang diberikan. -o antara muka
memilih paket yang keluar pada antara muka tertentu.
. --negeri adalah keadaan sepadan dengan keadaan paket dalam sambungan (ini memerlukan ipt_ conntrack modul kernel, untuk penjejakan sambungan). The BAHARU keadaan menerangkan paket memulakan sambungan baharu, DITUBUHKAN sepadan dengan paket kepunyaan sambungan yang sedia ada, dan BERKAITAN sepadan dengan paket yang memulakan sambungan baharu yang berkaitan dengan yang sedia ada (yang berguna untuk ftp-data sambungan dalam mod "aktif" protokol FTP).
Terdapat banyak pilihan yang tersedia untuk iptables and Jadual ip6 dan menguasai semuanya memerlukan banyak kajian dan pengalaman. Walau bagaimanapun, salah satu pilihan yang paling kerap anda gunakan ialah pilihan untuk menyekat trafik rangkaian berniat jahat daripada hos atau julat hos. Contohnya, untuk menyekat trafik masuk dari alamat IP secara senyap 10.0.1.5 dan juga 31.13.74.0/24 subnet kelas C:
# iptables -A INPUT -s 10.0.1.5 -j DROP
# iptables -A INPUT -s 31.13.74.0/24 -j DROP
# iptables -n -L INPUT
INPUT Rantaian (dasar TERIMA)
destinasi sumber pilihan prot sasaran
DROP semua -- 10.0.1.5 0.0.0.0/0 DROP semua -- 31.13.74.0/24 0.0.0.0/0
Satu lagi yang biasa digunakan iptables arahan adalah untuk membenarkan trafik rangkaian untuk perkhidmatan atau port tertentu. Untuk membenarkan pengguna menyambung ke SSH, HTTP dan IMAP, anda boleh menjalankan arahan berikut:
# iptables -A INPUT -m keadaan --state NEW -p tcp --dport 22 -j TERIMA
# iptables -A INPUT -m keadaan --state NEW -p tcp --dport 80 -j TERIMA
# iptables -A INPUT -m keadaan --state NEW -p tcp --dport 143 -j TERIMA
# iptables -n -L INPUT
INPUT Rantaian (dasar TERIMA)
sasaran | perlindungan | pilih | sumber | destinasi | ||||
GUGUR | semua | -- | 10.0.1.5 | 0.0.0.0/0 | ||||
GUGUR | semua | -- | 31.13.74.0/24 | 0.0.0.0/0 | ||||
TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | adalah | BAHARU | tcp | dpt:22 |
TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | adalah | BAHARU | tcp | dpt:80 |
TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | adalah | BAHARU | tcp | dpt:143 |
Ia dianggap sebagai komputer yang baik kebersihan untuk membersihkan peraturan lama dan tidak perlu. Cara paling mudah untuk memadam iptables peraturan adalah untuk merujuk peraturan mengikut nombor baris, yang boleh anda dapatkan semula
yang --nombor baris pilihan. Namun, berhati-hati: menggugurkan peraturan akan menomborkan semula semua peraturan yang muncul lebih jauh dalam rantaian.
# iptables -n -L INPUT --nombor-baris
INPUT Rantaian (dasar TERIMA)
num sasaran prot opt sumber destinasi
1 | GUGUR | semua | -- | 10.0.1.5 | 0.0.0.0/0 | |
2 | GUGUR | semua | -- | 31.13.74.0/24 | 0.0.0.0/0 | |
3 | TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negeri BARU tcp dpt:22 |
4 | TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negeri BARU tcp dpt:80 |
5 | TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negeri BARU tcp dpt:143 |
# iptables -D INPUT 2
# iptables -D INPUT 1
# iptables -n -L INPUT --nombor-baris
INPUT Rantaian (dasar TERIMA)
num sasaran prot opt sumber destinasi
1 | TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negeri BARU tcp dpt:22 |
2 | TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negeri BARU tcp dpt:80 |
3 | TIDAK AKTIF | tcp | -- | 0.0.0.0/0 | 0.0.0.0/0 | negeri BARU tcp dpt:143 |
Terdapat syarat yang lebih khusus, bergantung pada syarat generik yang diterangkan di atas. Untuk maklumat lanjut rujuk iptables(8) and ip6tables(8)