規則操作參數說明：

-A：在所選擇的鏈末添加一條或更多規則；

-D：從所選鏈中刪除一條或更多規則。有兩種方法：把被刪除規則指定為鏈中的序號(第一條序號為1)，或者指定為要匹配的規則；

-R：從選中的鏈中取代一條規則。如果源地址或目的地址轉換為多地址，該命令會失敗。規則序號從1開始；

-I：根據給出的規則序號，向所選鏈中插入一條或更多規則。所以，如果規則序號為1，規則會插入鏈的頭部。這也是不指定規則序號時的默認方式；

-L：現實所選鏈的所有規則。如果沒有所選鏈，將顯示所有鏈。也可以和z選項一起用，這是鏈會自動列出和歸零；

-F：清空所選鏈。這等于把所有規則一個個刪除；

-Z：把所有鏈的包以及字節的計數器清空；

-N：根據給出的名稱建立一個新的用戶定義鏈。這必須保證沒有同名的鏈存在；

-X：刪除指定的用戶自定義鏈。這個鏈必須沒有被引用，如果被引用，在刪除之前必須刪除或者替換與之有關的規則。如果沒有給出參數，這條命令將試著刪除每個非內建的鏈；

-P：設置鏈的目標規則；

-E：根據用戶給出的名字對指定鏈進行重名名；

規則定義參數說明：

-p

[!]protocol：

規則或者包檢查(待查包)的協議。指定協議可以是TCP、UDP、ICMP中的一個或者全部，也可以是數值，代表這些協議中的某一個。當然也可以使用在/etc/protocols中定義的協議名。在協議名前加上"!"表示相反的規則。數字0相當于所有all。Protocol

all會匹配所有協議，而且這是缺省時的選項。在和check命令結合時，all可以不被使用；

-s[!]address[/mask]：

指定源地址，可以是主機名、網絡名和清楚地IP地址。mask說明可以是網絡掩碼或清楚的數字，在網絡掩碼的左邊指定網絡掩碼左邊"1"的個數，因此，mask值為24等于255.255.255.0。在指定地址前加上"!"說明指定了相反的地址段。標志--src是這個選項的簡寫；

-d[!]address[/mask]：

指定目標地址，要獲取詳細說明請參見-s標志的說明。標志--dst是這個選項的簡寫；

-j target：

指定規則的目標：也就是說包匹配應當做什么。目標可以為ACCEPT(通過)、DROP(刪除)、RETURN(返回)、REDIRECT(重新指向)、SNAT(源地址轉換)、DNAT(目標地址轉換)、MASQUERADE(偽裝)等，還可以是用戶自定義鏈。如果規則的這個選項被忽略，那么匹配的過程不會對包產生影響，不過規則的計數器會增加；

-i[!][name]：

待選的可接受包接口名稱，包通過該接口接收(在鏈INPUT、FORWORD和PREROUTING中進入的包)。當在接口名前使用"!"說明后，指的是相反的名稱，如果接口名后面加上"+"，則所有以次接口名開頭的接口都會被匹配。如果這個選項被忽略，會假設為"+"，那么將匹配任意接口；

-O[!][NAME]：

這是包經由該接口送出的可選的出口名稱，包通過該口輸出(在鏈FORWARD、OUTPUT和POSTROUTING中送出的包)。其他設置同上。

2) 匹配規則擴展選項：

tcp：當指定-p

tcp，且未指定其他匹配的擴展，則裝載這些擴展。

--source-port[!][port[:port]]：

源端口或端口范圍指定。可以是服務名或端口號。使用格式端口：端口也可以指定包含的(端口)范圍。如果忽略首端口號，默認是0，如果忽略末端口號，默認是65535，如果第二個端口號大于第一個，則他們進行交換。這個選項可以使用--sport的別名；

--destionation-port[!][port:[port]]：

目標端口或端口范圍指定。這個選項可以使用--dport別名來代替；

--tcp-flags[!]mask

comp：

匹配指定的TCP標記。第一個參數是要檢查的標記，一個用逗號分開的列表，第二個參數是用逗號分開的標記表，是必須設置的。標記如：SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(送入)ALLNONE。

命令iptables

-A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST

SYN只匹配那些設置了SYN標記而沒有設置ACK、FIN和RST標記的包。

udp：當指定-p

icmp且未指定其他匹配的擴展時，則裝載這些擴展。

--icmp-type[!]typename：這個選項允許指定ICMP類型，可以是一個數值型的ICMP類型，或者是某個由命令"iptables -p icmp -h"所顯示的ICMP類型名。

mac：

--mac-source[!]address：匹配物理地址。必須是XX:XX:XX:XX:XX這樣的格式。注意，他只對來自以太設備并進入PREROUTING、FORWORD和INPUT鏈的包有效。

limit：這個模塊匹配標志用來對網絡數據的通過速率進行標記，他和LOG目標結合使用，給出有限的登陸數。當達到這個極限值時，使用這個擴展包的規則將進行匹配。(除非使用了!標記)，他的擴展選項包括：

--limit

rate：最大平均匹配速率，可賦的值有"/second"、"/minute"、"/hour"或"/day"這樣的單位，默認是"3/hour"；

--limit-burst

number：待匹配包初始個數的最大值。若前面指定的極限還沒達到這個數值，則該數字加1。默認值是5。

multiport：這個模塊匹配一組源端口或目標端口，最多可以指定15個端口。只能和-p tcp或者-p

udp連著使用：

--source-port[port[,port]]：如果源端口是其中一個給定端口，則匹配；

--destination-port[port[,port]]：如果目標端口是其中一個給定端口，則匹配；

--port[port[,port]]：若源端口和目的端口相等并與某個給定端口相等，則匹配。

owner：此擴展為本地生成包匹配包的創建者，只能用于OUTPUT鏈，而且，有一些包(如ICMP ping應答)還可能沒有所有者，因此永遠不會匹配：

--uid-owner

userid：如果給出有效的user id，那么匹配他的進程產生的包；

--gid-owner

groupid：如果給出有效的group id，那么匹配它的進程產生的包；

--sid-owner

sessionid：根據給出的會話組成匹配該進程產生的包。

REJECT：作為對匹配的包的相應，返回一個錯誤的包，其他情況下和DROP相同。此目標只適用于INPUT、FORWARD和OUTPUT鏈，以及調用這些鏈的用戶自定義鏈。這幾個選項控制返回的錯誤包的特性：

--reject-with

type：其中的type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-unreachable、icmp-porto-unreachable、icmp-net-prohibited或者icmp-host-prohibited，該類型會返回相應的ICMP錯誤信息(默認是port-unreachable)。選項echo-reply也是允許的；它只能用于指定ICMP ping包的規則中，生成ping的回應。

SNAT：這個目標只適用于nat表的POSTROUTING鏈。它規定修改包的源地址(此連接以后所有的包都會被影響)，停止對規則的檢查：

--to-source

[][:port-port]：

可以指定一個單一的新IP地址，一個IP地址范圍，也可以附加一個端口范圍(只能在指定-p tcp或者-p

udp的規則里)。如果未指定端口范圍，源端口是512以下的端口惠被安排為其他的512以下的端口；512到1024之間的端口會被安排為1024以下的，其他端口會被安排為1024或以上。如果可能，端口不會被修改；

--to-destiontion

[][:port-port]：

可以指定一個單一的新的IP地址，一個IP地址范圍，也可以附加一個端口范圍(只能在指定-p tcp或者-p

udp的規則里)。如果未指定端口范圍，目標端口不會被修改。

MASQUERADE：只用于nat表的POSTROUTING鏈。只能用于動態獲取ip(撥號)連接：如果擁有靜態IP地址，要用SNAT。偽裝相當于給包發出時所經過接口的IP地址設置一個映像，當借口關閉時，連接會終止。這是因為，當下一次撥號時，未必是相同的接口地址(以后所有建立的連接都將關閉)。他有一個選項：

--to-ports

[]：指定使用的源端口范圍，覆蓋默認的SNAT源地址選擇。這個選項只適用于指定了-p tcp或者-p

udp的規則。

REDIRECT：只適用于nat表的PREROUTING和OUTPUT鏈，以及只調用他們的用戶定義鏈。他修改包的目標IP地址來發送包到機器自身(本地生成的包被安置為地址127.0.0.1)，包含一個選項：

--to-ports

[]：指定使用的目的端口或端口范圍：不指定的話，目標端口不會被修改。只能用于指定了-p tcp或者-p udp的規則。

總結

以上是生活随笔為你收集整理的linux防火墙配置说明,Linux防火墙配置命令参数说明的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。