#iptables [OPTION] COMMAND CHAIN 匹配標(biāo)準(zhǔn) -j TARGET
??? [OPTION]
??????? -t TABLENAME? 不指定默認(rèn)為filter
??????? -j 指定TARGET

??? COMMAND
??????? 管理規(guī)則
??????????? -A 在鏈的尾部添加一條規(guī)則
??????????? -I? CHAIN [NUM] 在CHINA鏈上插入第NUM條規(guī)則，不指定NUM表示插入為第一條
??????????? -D CHAIN [NUM] 刪除CHAIN鏈上的第NUM條規(guī)則
??????????? -R CHAIN [NUM] 替換CHAIN鏈上的第NUM條規(guī)則


??????? 管理鏈
??????????? -F [CHAIN] flush 清空指定規(guī)則鏈，若不指定鏈，則刪除對(duì)應(yīng)表中的所有鏈
??????????? -P CHAIN TAREGT 設(shè)置指定鏈的默認(rèn)策略
??????????? -N 自定義一條空鏈
??????????? -X 刪除自定義空鏈
??????????? -Z 清空指定鏈中所有規(guī)則的計(jì)數(shù)器
??????????? -E OLDCHAINNAME NEWCHAINNAME 重命名自定義鏈名

??????? 查看類
??????????? -L list 顯示指定表中的規(guī)則
??????????? -n 以數(shù)字格式顯示主機(jī)地址和端口號(hào)，否則默認(rèn)iptables將反解主機(jī)名和端口
??????????? -v 顯示詳細(xì)信息
??????????? -x 顯示計(jì)數(shù)器精確值，不做單位換換和圓整
??????????? --line-numbers 顯示規(guī)則號(hào)碼
?????????? ?
??? CHAIN 鏈的名稱

??? 匹配標(biāo)準(zhǔn)
??????? 注意：絕大部分匹配條件都可以取反，即使用！
??????? 通用匹配
??????????? -s，--scr 源地址
??????????? -d，--dst 目的地址
??????????? -p {tcp|udp|icmp} 協(xié)議類型
??????????? -i INTERFACE 指定數(shù)據(jù)報(bào)文流入的接口
??????????????? 只能定義在PREROUTING INPUT FORWARD鏈
??????????? -o INTERFACE 指定數(shù)據(jù)報(bào)文流出的接口
??????????????? 只能定義在POSTROUTING OUTPUT FORWARD鏈

??????? 擴(kuò)展匹配
??????????? 隱含擴(kuò)展
??????????????? -p PROTOCOL

??????????????????? PROTOCOL
??????????????????????? tcp
??????????????????????????? --sport PORT[-PORT] 源端口，可以使用連續(xù)端口
??????????????????????????? --dport PORT[-PORT]? 目標(biāo)端口，可以使用連續(xù)端口
??????????????????????????? --tcp-flags? MASK COMP tcp標(biāo)志位，指定MASK表中，查找COMP表中為1，其余為0的標(biāo)記位。常用的標(biāo)記位：SYN FIN ACK RST? ALL NONE
??????????????????????????? --syn 匹配3次握手中的第一次

??????????????????????? udp
??????????????????????????? --sport
??????????????????????????? --dport

??????????????????????? icmp
??????????????????????????? --icmp-type TYPE
??????????????????????????????? TYPE
??????????????????????????????????? 0 ICMP響應(yīng)報(bào)文
??????????????????????????????????? 8 ICMP請求報(bào)文

??????????? 顯示擴(kuò)展 使用額外的匹配機(jī)制
??????????????? -m EXTESTION SPECIAL-OPTION

???????????????? /lib/iptables/libpt_*.so 擴(kuò)展模塊

??????????????????????? state 狀態(tài)擴(kuò)展，結(jié)合ip_conntrack追蹤會(huì)話的狀態(tài)
???????????????????????????? --state
??????????????????????????????? NEW 發(fā)起的連接請求
??????????????????????????????? ESTABLISHED 已建立的連接
??????????????????????????????? INVALID 非法連接
??????????????????????????????? RELATED 相關(guān)聯(lián)的

??????????????????????? multiport 離散的多端口匹配擴(kuò)展，最多支持15個(gè)端口
??????????????????????????? --source-ports PORT,...PORT1:PORT2,... 源端口
??????????????????????????? --destination-ports PORT,...PORT1:PORT2,... 目的端口
??????????????????????????? --ports PORT,...PORT1:PORT2,... 端口

??????????????????????? iprange 指定IPv4地址段
??????????????????????????? --src-range IP1-IP2
??????????????????????????? --dst-range? IP1-IP2

??????????????????????? connlimit 連接數(shù)限制
?????????????????????????? --connlimit-above? NUM 指定每個(gè)客戶端已存在的tcp連接個(gè)數(shù)超出NUM個(gè)

??????????????????????? limit? 令牌桶過濾器機(jī)制的流量整合，不控制最大上限，只控制單位時(shí)間內(nèi)速率以及單位時(shí)間內(nèi)峰值
??????????????????????????? --limit NUM/RATE 指定單位時(shí)間內(nèi)的請求速率
??????????????????????????????? RATE
??????????????????????????????????? second
??????????????????????????????????? minute
??????????????????????????????????? hour????? ?
??????????????????????????? --limit-burst NUM 單位時(shí)間內(nèi)請求峰值，默認(rèn)值為5

??????????????????????? string 匹配符合某種模式的字符
??????????????????????????? --algo? bm|kmp 指定匹配算法
??????????????????????????? --string PATTERN 指定PATTERN
??????????????????????????? --hex-string PATTERN 把PATTERN變?yōu)?6進(jìn)制

??????????????????????? recent 創(chuàng)建IP地址清單用于匹配
??????????????????????????? --set? 添加報(bào)文源地址到清單，若源地址已存在則更新
??????????????????????????? --name NAME 創(chuàng)建一個(gè)名為NAME的清單，不指定NAME使用DEFAULT作為名稱。
??????????????????????????? --update 更新源地址，但是不會(huì)更新”last seen“時(shí)間戳
??????????????????????????? --seconds NUM 匹配清單中存在的并且在過去NUM秒中出現(xiàn)的的地址。
??????????????????????????? --hitcount NUM 匹配清單中存在并且接收數(shù)據(jù)包大于或等于NUM次的地址

??????????????????????? layer7 安裝l7以后才能使用此擴(kuò)展
??????????????????????????? --l7proto PROTOCOL? 具體協(xié)議請參照/etc/l7-protocols下

??????????????????????? time 重新編譯內(nèi)核后才有
??????????????????????????? --datestrat YYYY-MM-DDThh:mm:ss 不指定默認(rèn)為1970-01-01
??????????????????????????? --datestop YYYY-MM-DDThh:mm:ss 不指定默認(rèn)為2038-01-19

??????????????????????????? --timestart hh:mm:ss
??????????????????????????? --timestop hh:mm:ss

??????????????????????????? --montudayes DAY1,[DAY2...]
??????????????????????????????? DAY取值為1-31
??????????????????????????? --weekdays? DAY1,[DAY2...] ?
??????????????????????????????? DAY取值為Mon Tue Wed Thu Fri? Sat Sun 或者1-7


??? TARGET 處理動(dòng)作
??????? ACCEPT 允許
??????? DROP 丟棄
??????? REJECT 丟棄并返回信息
??????? REDIRECT 端口重定向
??????? RETURN 跳轉(zhuǎn)回主鏈
??????? CHAINNAME 自定義鏈名成

??????? LOG 記錄日志
??????????? --log_level NUM 日志級(jí)別
??????????? --log_prefix “STRING” 日志前綴，最長29字符
??????????? --log_tcp_sequence TCP序列號(hào)
??????????? --log_tcp_options TCP報(bào)文選項(xiàng)
??????????? --log_ip_options IP報(bào)文選項(xiàng)
??????????? --log-uid? 數(shù)據(jù)包對(duì)應(yīng)進(jìn)程的用戶id

??????? MARK 設(shè)定標(biāo)記

??????? SNAT 源地址轉(zhuǎn)換
??????????? --to-source? IP[-IP][:PORT1-PORT2] 指定把源地址轉(zhuǎn)換為IP

??????? DNAT 目標(biāo)地址轉(zhuǎn)換
??????????? --to-destination? IP 指定把目標(biāo)地址轉(zhuǎn)換為IP

??????? MASQUERADE 地址偽裝
??????????? 類似與SNAT --to-source，適用于pppoe等源地址隨時(shí)變動(dòng)的情況，會(huì)自動(dòng)指定地址。效率比SNAT低。

轉(zhuǎn)載于:https://blog.51cto.com/ggvylf/1663823

總結(jié)

以上是生活随笔為你收集整理的iptables之iptables命令详解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。