iptables命令大家都經常用到,但本文要講的是iptables命令的結構,對學習和記憶iptables命令非常有幫助!
命令行本節列出了iptables命令行的組成部分(跟在實用工具名iptables后面的內容)。除了明確標示出來的部分之外,實用工具 iptables對命令行參數的位置并沒有特殊的要求。本章中的示例反映的是一種普遍接受的語法,它可以讓命令行更加易于閱讀、理解和維護。不是所有命令 都包括全部的組成部分。
iptables命令行中的很多符號都有兩種形式:短格式(單個字母,前面還有一個連字符)和長格式(一個單詞,前面有兩個連字符)。為了簡潔起 見,大多數腳本使用短格式,而使用長格式的命令行顯得有些笨重。下面的兩條iptables命令行是一樣的效果,本節將它們作為示例:
表指定命令所操作的表的名稱:Filter、NAT還是Mangle。可以在任何iptables命令中指定表名。如果不指定表名,那么該命令操作 的就是Filter表。本章的大多數示例不指定表名,因此它們操作的是Filter表。用-ttablename或--tabletablename來指 定表。
命令用來說明命令行剩余部分的作用,比如添加或刪除規則、顯示規則或添加規則鏈。這個示例中的命令(-A和--append)將命令行指定的規則添加到指定的表和規則鏈中。15.7.1節列出了所有命令。
規則鏈指定規則所屬的規則鏈或命令操作的規則鏈的名稱。規則鏈有INPUT、OUTPUT、FORWARD、PREROUTING、 POSTROUTING,或者由用戶定義的規則鏈。在指定規則鏈時,直接將規則鏈的名字放進命令行,不需要在前面放置任何連字符。本節開頭的示例操作的是 FORWARD規則鏈。
匹配條件 有兩種匹配條件:分組匹配條件(匹配網絡分組)和規則匹配條件(匹配已有規則)。
分組匹配條件/規則定義分組匹配條件用來識別網絡分組,并實現規則,對匹配條件的分組采取相應的行動。分組匹配條件和動作的組合被稱為規則定義。規 則定義構成了分組過濾的基礎。本節開頭的第一個示例使用的規則匹配條件是--in-interfaceeth1--out-interface eth0。第二個示例使用的是同一個條件,但用的是短格式:-i eth1-oeth0。這兩條規則都用來轉發設備eth1上接收到的分組,并將其通過設備eth0發送到網絡。
規則匹配條件規則匹配條件識別已有的規則。iptables命令能夠修改、刪除或將一條新規則放置到與規則匹配條件指定的規則相鄰的地方。有兩種方 法可以指定某條已有規則:可以使用與曾經用來建立規則相同的規則定義,也可以使用規則的序號(被稱為規則編號)。規則編號從1開始,它表示的是規則鏈中的 第一條規則,可在iptables-L(或者--line-numbers)的結果中顯示。下面的第一條命令將本節開頭所列的規則刪除。第二條命令將 INPUT規則鏈中編號為3的規則替換成另一條規則,將所有來自IP地址192.168.0.10的分組拒絕:
跳轉或目標用來指定內核對分組(它們匹配規則的所有匹配條件)所采取的動作。指定跳轉或目標的方式為-jtarget或者--jumptarget。本節開頭的示例使用命令--jump ACCEPT和-jACCEPT,來指定目標ACCEPT。
跳轉跳轉將控制轉移到同一個表中的不同規則鏈。下面的命令將一條規則添加(--append)到INPUT鏈,將使用TCP協議(--protocoltcp)的分組傳遞給用戶定義鏈tcp_rules(--jumptcp_rules):
當分組經過tcp_rules鏈的處理之后(假設還沒有被丟棄或拒絕),它將從剛跳轉的那條規則之后的規則繼續經過INPUT鏈處理。
目標目標指定內核對分組所采取的動作,最簡單的動作是ACCEPT、DROP和REJECT,下面的命令向FORWARD鏈中添加一條規則,將來自 FTP端口(/etc/services--iptables根據這個文件來確定使用哪個端口--顯示FTP使用的端口是23)的分組拒絕:
有些目標(比如LOG)并不是最終的目標:在執行該目標之后,將控制傳遞給下一條規則。