1 [root@node1 ~]# iptables -t filter -P FORWARD DROP
E、获得iptables相关选项用法的帮助信息
eg: 查看iptables命令中关于icmp协议的帮助信息(在输出内容的最后部分列出)。
1 [root@node1 ~]# iptables -p icmp -h
F、新增、删除自定义规则链
eg: 在raw表中新增一条自定义的规则链,链名为TCP_PACKETS.
1 [root@node1 ~]# iptables -t raw -N TCP_PACKETS
eg: 清空raw表中的用户自定义的所有规则链。
1 [root@node1 ~]# iptables -t raw -X
Ps:在iptables的规则表中,允许用户自定义新的链。但是需要在默认的链中添加相应的跳转策略(如“iptables -I INPUT ...... -j 自定义链名”),否则在处理数据包时将不会使用自定义链中的规则。
2.3>、条件匹配
对于Linux防火墙来说,应该对什么样的数据包进行过滤,对什么样的数据包做地址转换......,对于一条有效的防火墙策略来说,条件匹配的设置起着决定性的作用,Linux防火墙需要非常清楚的知道针对符合什么条件的数据包进行什么样的处理。
区分数据包的条件匹配方式可以分为通用匹配、隐含匹配和显式匹配,各种匹配条件可以结合在一起使用。
A、通过(general)条件匹配
这种匹配操作一般可以直接使用,而不依赖于其他的条件匹配及其扩展。常见的通用匹配方式包括以下集中。
>>>协议匹配。用于检查数据包的网络协议(--protocal),允许使用的协议名包含在
/etc/protocols文件中,常见的为tcp、udp、icmp和all(针对所有IP数据包)。在iptables命令中使用“-p 协议名”的形式。
eg: 拒绝进入防火墙的所有icmp协议数据包。
1 [root@node1 ~]# iptables -I INPUT -p icmp -j REJECT
eg :允许防火墙转发除icmp协议以外的所有数据包(使用惊叹号"!"可以将除条件取反)。 1 [root@node1 ~]# iptables -A FORWARD ! -p icmp -j ACCEPT