[size=large][size=medium][/size][/size]
Linux下用iptables做转发规则
iptables实现包过滤型防火墙,提供了一系列的"表"(TABLES),每个表由若干"链"(chains)组成,而每条链中可以有一条或数条规则(rule)组成。其中,系统缺省表为filter表。
一、iptables中TABLES共有5种:filter、mangle、nat、raw、security;
1.使用iptables前先要清除旧规则,以免影响效果。
清除默认规则链中的规则:iptables [-t TABLES] -F;(iptables -F等于iptables --flush;)
清除用户自定义规则链中的规则:iptables [-t TABLES] -X;(iptables -X等于iptables --delete -chain;)
2.查看方法
-L (--list)list all rule in the selected chain
-S (--list-rule)print all rule in the selected chain
格式:
-L [-t TABLES[chain]],缺省-t为filter,缺省chain列出所有规则链
-S [-t TABLES[chain]],缺省-t为filter,缺省chain列出所有规则链
3.增删规则
-A (--append)在指定规则链尾端添加一条或多条规则;
-I (insert)在指定位置插入一条或多条规则,当rulenum为1是插入指定规则链首部,缺省插入首部;
-R (replace)替换规则链中指定的规则;
-D (delete)删除一条或多条规则;
格式:
-A chain rule-specification
-I chain [rule_num] rule_specification
-R chain rule_num rule_specification
-D chain rule_num 或-D chain rule_specification
二、iptables有4种TARGET(实际上就是匹配成功后的处理方法):accept、drop、queue、return
1.策略
-P (--police)chain TARGET;设置匹配规则后策略