規(guī)則操作參數(shù)說明：

-A：在所選擇的鏈末添加一條或更多規(guī)則；

-D：從所選鏈中刪除一條或更多規(guī)則。有兩種方法：把被刪除規(guī)則指定為鏈中的序號(第一條序號為1)，或者指定為要匹配的規(guī)則；

-R：從選中的鏈中取代一條規(guī)則。如果源地址或目的地址轉(zhuǎn)換為多地址，該命令會失敗。規(guī)則序號從1開始；

-I：根據(jù)給出的規(guī)則序號，向所選鏈中插入一條或更多規(guī)則。所以，如果規(guī)則序號為1，規(guī)則會插入鏈的頭部。這也是不指定規(guī)則序號時的默認(rèn)方式；

-L：現(xiàn)實(shí)所選鏈的所有規(guī)則。如果沒有所選鏈，將顯示所有鏈。也可以和z選項一起用，這是鏈會自動列出和歸零；

-F：清空所選鏈。這等于把所有規(guī)則一個個刪除；

-Z：把所有鏈的包以及字節(jié)的計數(shù)器清空；

-N：根據(jù)給出的名稱建立一個新的用戶定義鏈。這必須保證沒有同名的鏈存在；

-X：刪除指定的用戶自定義鏈。這個鏈必須沒有被引用，如果被引用，在刪除之前必須刪除或者替換與之有關(guān)的規(guī)則。如果沒有給出參數(shù)，這條命令將試著刪除每個非內(nèi)建的鏈；

-P：設(shè)置鏈的目標(biāo)規(guī)則；

-E：根據(jù)用戶給出的名字對指定鏈進(jìn)行重名名；

規(guī)則定義參數(shù)說明：

-p

[!]protocol：

規(guī)則或者包檢查(待查包)的協(xié)議。指定協(xié)議可以是TCP、UDP、ICMP中的一個或者全部，也可以是數(shù)值，代表這些協(xié)議中的某一個。當(dāng)然也可以使用在/etc/protocols中定義的協(xié)議名。在協(xié)議名前加上"!"表示相反的規(guī)則。數(shù)字0相當(dāng)于所有all。Protocol

all會匹配所有協(xié)議，而且這是缺省時的選項。在和check命令結(jié)合時，all可以不被使用；

-s[!]address[/mask]：

指定源地址，可以是主機(jī)名、網(wǎng)絡(luò)名和清楚地IP地址。mask說明可以是網(wǎng)絡(luò)掩碼或清楚的數(shù)字，在網(wǎng)絡(luò)掩碼的左邊指定網(wǎng)絡(luò)掩碼左邊"1"的個數(shù)，因此，mask值為24等于255.255.255.0。在指定地址前加上"!"說明指定了相反的地址段。標(biāo)志--src是這個選項的簡寫；

-d[!]address[/mask]：

指定目標(biāo)地址，要獲取詳細(xì)說明請參見-s標(biāo)志的說明。標(biāo)志--dst是這個選項的簡寫；

-j target：

指定規(guī)則的目標(biāo)：也就是說包匹配應(yīng)當(dāng)做什么。目標(biāo)可以為ACCEPT(通過)、DROP(刪除)、RETURN(返回)、REDIRECT(重新指向)、SNAT(源地址轉(zhuǎn)換)、DNAT(目標(biāo)地址轉(zhuǎn)換)、MASQUERADE(偽裝)等，還可以是用戶自定義鏈。如果規(guī)則的這個選項被忽略，那么匹配的過程不會對包產(chǎn)生影響，不過規(guī)則的計數(shù)器會增加；

-i[!][name]：

待選的可接受包接口名稱，包通過該接口接收(在鏈INPUT、FORWORD和PREROUTING中進(jìn)入的包)。當(dāng)在接口名前使用"!"說明后，指的是相反的名稱，如果接口名后面加上"+"，則所有以次接口名開頭的接口都會被匹配。如果這個選項被忽略，會假設(shè)為"+"，那么將匹配任意接口；

-O[!][NAME]：

這是包經(jīng)由該接口送出的可選的出口名稱，包通過該口輸出(在鏈FORWARD、OUTPUT和POSTROUTING中送出的包)。其他設(shè)置同上。

2) 匹配規(guī)則擴(kuò)展選項：

tcp：當(dāng)指定-p

tcp，且未指定其他匹配的擴(kuò)展，則裝載這些擴(kuò)展。

--source-port[!][port[:port]]：

源端口或端口范圍指定。可以是服務(wù)名或端口號。使用格式端口：端口也可以指定包含的(端口)范圍。如果忽略首端口號，默認(rèn)是0，如果忽略末端口號，默認(rèn)是65535，如果第二個端口號大于第一個，則他們進(jìn)行交換。這個選項可以使用--sport的別名；

--destionation-port[!][port:[port]]：

目標(biāo)端口或端口范圍指定。這個選項可以使用--dport別名來代替；

--tcp-flags[!]mask

comp：

匹配指定的TCP標(biāo)記。第一個參數(shù)是要檢查的標(biāo)記，一個用逗號分開的列表，第二個參數(shù)是用逗號分開的標(biāo)記表，是必須設(shè)置的。標(biāo)記如：SYN(同步)、ACK(應(yīng)答)、FIN(結(jié)束)、RST(重設(shè))、URG(緊急)、PSH(送入)ALLNONE。

命令iptables

-A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST

SYN只匹配那些設(shè)置了SYN標(biāo)記而沒有設(shè)置ACK、FIN和RST標(biāo)記的包。

udp：當(dāng)指定-p

icmp且未指定其他匹配的擴(kuò)展時，則裝載這些擴(kuò)展。

--icmp-type[!]typename：這個選項允許指定ICMP類型，可以是一個數(shù)值型的ICMP類型，或者是某個由命令"iptables -p icmp -h"所顯示的ICMP類型名。

mac：

--mac-source[!]address：匹配物理地址。必須是XX:XX:XX:XX:XX這樣的格式。注意，他只對來自以太設(shè)備并進(jìn)入PREROUTING、FORWORD和INPUT鏈的包有效。

limit：這個模塊匹配標(biāo)志用來對網(wǎng)絡(luò)數(shù)據(jù)的通過速率進(jìn)行標(biāo)記，他和LOG目標(biāo)結(jié)合使用，給出有限的登陸數(shù)。當(dāng)達(dá)到這個極限值時，使用這個擴(kuò)展包的規(guī)則將進(jìn)行匹配。(除非使用了!標(biāo)記)，他的擴(kuò)展選項包括：

--limit

rate：最大平均匹配速率，可賦的值有"/second"、"/minute"、"/hour"或"/day"這樣的單位，默認(rèn)是"3/hour"；

--limit-burst

number：待匹配包初始個數(shù)的最大值。若前面指定的極限還沒達(dá)到這個數(shù)值，則該數(shù)字加1。默認(rèn)值是5。

multiport：這個模塊匹配一組源端口或目標(biāo)端口，最多可以指定15個端口。只能和-p tcp或者-p

udp連著使用：

--source-port[port[,port]]：如果源端口是其中一個給定端口，則匹配；

--destination-port[port[,port]]：如果目標(biāo)端口是其中一個給定端口，則匹配；

--port[port[,port]]：若源端口和目的端口相等并與某個給定端口相等，則匹配。

owner：此擴(kuò)展為本地生成包匹配包的創(chuàng)建者，只能用于OUTPUT鏈，而且，有一些包(如ICMP ping應(yīng)答)還可能沒有所有者，因此永遠(yuǎn)不會匹配：

--uid-owner

userid：如果給出有效的user id，那么匹配他的進(jìn)程產(chǎn)生的包；

--gid-owner

groupid：如果給出有效的group id，那么匹配它的進(jìn)程產(chǎn)生的包；

--sid-owner

sessionid：根據(jù)給出的會話組成匹配該進(jìn)程產(chǎn)生的包。

REJECT：作為對匹配的包的相應(yīng)，返回一個錯誤的包，其他情況下和DROP相同。此目標(biāo)只適用于INPUT、FORWARD和OUTPUT鏈，以及調(diào)用這些鏈的用戶自定義鏈。這幾個選項控制返回的錯誤包的特性：

--reject-with

type：其中的type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-unreachable、icmp-porto-unreachable、icmp-net-prohibited或者icmp-host-prohibited，該類型會返回相應(yīng)的ICMP錯誤信息(默認(rèn)是port-unreachable)。選項echo-reply也是允許的；它只能用于指定ICMP ping包的規(guī)則中，生成ping的回應(yīng)。

SNAT：這個目標(biāo)只適用于nat表的POSTROUTING鏈。它規(guī)定修改包的源地址(此連接以后所有的包都會被影響)，停止對規(guī)則的檢查：

--to-source

[][:port-port]：

可以指定一個單一的新IP地址，一個IP地址范圍，也可以附加一個端口范圍(只能在指定-p tcp或者-p

udp的規(guī)則里)。如果未指定端口范圍，源端口是512以下的端口惠被安排為其他的512以下的端口；512到1024之間的端口會被安排為1024以下的，其他端口會被安排為1024或以上。如果可能，端口不會被修改；

--to-destiontion

[][:port-port]：

可以指定一個單一的新的IP地址，一個IP地址范圍，也可以附加一個端口范圍(只能在指定-p tcp或者-p

udp的規(guī)則里)。如果未指定端口范圍，目標(biāo)端口不會被修改。

MASQUERADE：只用于nat表的POSTROUTING鏈。只能用于動態(tài)獲取ip(撥號)連接：如果擁有靜態(tài)IP地址，要用SNAT。偽裝相當(dāng)于給包發(fā)出時所經(jīng)過接口的IP地址設(shè)置一個映像，當(dāng)借口關(guān)閉時，連接會終止。這是因為，當(dāng)下一次撥號時，未必是相同的接口地址(以后所有建立的連接都將關(guān)閉)。他有一個選項：

--to-ports

[]：指定使用的源端口范圍，覆蓋默認(rèn)的SNAT源地址選擇。這個選項只適用于指定了-p tcp或者-p

udp的規(guī)則。

REDIRECT：只適用于nat表的PREROUTING和OUTPUT鏈，以及只調(diào)用他們的用戶定義鏈。他修改包的目標(biāo)IP地址來發(fā)送包到機(jī)器自身(本地生成的包被安置為地址127.0.0.1)，包含一個選項：

--to-ports

[]：指定使用的目的端口或端口范圍：不指定的話，目標(biāo)端口不會被修改。只能用于指定了-p tcp或者-p udp的規(guī)則。

總結(jié)

以上是生活随笔為你收集整理的linux防火墙配置说明,Linux防火墙配置命令参数说明的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。