前面讲解了linux防火墙的表、链结构,下面讲述netfilter防火墙的管理工具——iptables命令的使用。
2.1 >、iptables的基本语法格式
使用iptables命令设置防火墙规则时,其基本的命令格式如下:
iptables [ -t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] 其中,表名、链名用于指定iptables命令所操作的表和链,若未指定表名,将默认使用filter表;命令选项用于指定管理iptables规则的方式,如插入、增加、删除以及查看等;条件匹配用于指定对符合什么样条件的数据包进行处理;目标动作或跳转用于知道数据包的处理方式,如允许通过、拒绝、丢弃或跳转(jump)给其他链进行处理等。
2.2>、管理iptables规则
在管理iptables防火墙的过程中,首先需要考虑的就是如何查看规则、添加规则、清空链内的规则等基本操作。
1 iptables 命令的管理控制选项
2 选项名 功能及特点
3 -A 在指定链的末尾添加(--append)一条新的规则
4 -D 删除(--delete)指定链中的某一条规则,按规则序号或内容确定要删除的规则
5 -I 在指定链中插入(--insert)一条新的规则,若未指定插入位置,则默认在链的开头插入 6 -R 修改、替换(--replace)指定链中的某一条规则,按规则序号或内容确定要替换的规则 7 -L 列出(--list)指定链中的所有的规则进行查看,若未指定链名,则列出表中所有链的内容 8 -F 清空(--flush)指定链中的所有规则,若未指定链名,则清空表中所有链的内容 9 -N 新建(--new-chain)一条用户自己定义的规则链
10 -X 删除指定表中用户自定义的规则链(--delete-chain)
11 -P 设置指定链的默认策略(--policy)
12 -n 使用数字形式(--numeric)显示输出结果,若显示主机的IP地址而不是主机名 13 -v 查看规则列表时显示详细(--verbose)的信息
14 -V 查看iptables命令工具的版本(--Version)信息
15 -h 查看命令帮助信息(--help)
16 --line-number 查看规则列表时,同时显示规则在链中的顺序号
其中,添加、插入、删除、清空规则和查看规则是最常用的管理选项,下面通过实例的方式显示部分选项的应用。