<上一页 | 内容 | 下一页>

规则‌‌

每条规则表示为 条件 -j 动作 action_options. 如果在同一个规则中描述了多个条件，则标准是合取（逻辑 AND) 的条件，这至少与每个单独的条件一样具有限制性。

这个 -p 协议 条件匹配IP数据包的协议字段。 最常见的值是 TCP, UDP, 国际会议和 icmpv6. 这个条件可以用 TCP 端口上的条件来补充，例如 --源端口 端口 和 - 目的端口 端口.

否定条件 用感叹号作为条件的前缀会否定该条件。 例如，否定条件 -p 选项匹配“具有与指定协议不同的协议的任何数据包”。 这种否定机制也可以应用于所有其他条件。

否定条件 用感叹号作为条件的前缀会否定该条件。 例如，否定条件 -p 选项匹配“具有与指定协议不同的协议的任何数据包”。 这种否定机制也可以应用于所有其他条件。

这个 -s 地址 or -s 网络/掩码 条件匹配数据包的源地址。 相应地， -d 地址 or -d 网络/掩码 匹配目标地址。

这个 -i 接口 条件选择来自给定网络接口的数据包。 -o 接口

选择从特定接口出去的数据包。

这个 - 状态 州 条件匹配连接中数据包的状态（这需要 ipt_conntrack 内核模块，用于连接跟踪）。 这 新品 状态描述了一个开始新连接的数据包， 成立 匹配属于现有连接的数据包，以及 有关 匹配启动与现有连接相关的新连接的数据包（这对于 ftp-数据 FTP 协议的“活动”模式下的连接）。

有许多可用的选项 iptables的 和 ip6表 掌握它们都需要大量的学习和经验。 但是，您最常使用的选项之一是阻止来自一台主机或一系列主机的恶意网络流量。 例如，静默阻止来自 IP 地址的传入流量 10.0.1.5 和 31.13.74.0/24 C类子网：

# iptables -A 输入 -s 10.0.1.5 -j DROP

# iptables -A 输入 -s 31.13.74.0/24 -j DROP

# iptables -n -L 输入

链输入（政策接受）

目标 prot opt 源目标

全部删除 -- 10.0.1.5 0.0.0.0/0 全部删除 -- 31.13.74.0/24 0.0.0.0/0

另一个常用的 iptables的 命令是允许特定服务或端口的网络流量。 要允许用户连接到 SSH、HTTP 和 IMAP，您可以运行以下命令：

# iptables -A 输入 -m 状态 --state 新 -p tcp --dport 22 -j 接受

# iptables -A 输入 -m 状态 --state 新 -p tcp --dport 80 -j 接受

# iptables -A 输入 -m 状态 --state 新 -p tcp --dport 143 -j 接受

# iptables -n -L 输入

链输入（政策接受）

它被认为是好电脑 卫生 清理旧的和不必要的规则。 最简单的删除方法 iptables的 rules 是通过行号引用规则，你可以用它来检索

这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 --行号 选项。 但要小心：删除规则将重新编号出现在链中更下方的所有规则。

# iptables -n -L INPUT --行号

链输入（政策接受）

num 目标 prot 选择源目标

# iptables -D 输入 2

# iptables -D 输入 1

# iptables -n -L INPUT --行号

链输入（政策接受）

num 目标 prot 选择源目标

根据上述通用条件，还有更多特定条件。 有关更多信息，请参阅 iptables(8) 和 ip6表(8)

<上一页 | 内容 | 下一页>