iptablesが起動と停止します
スタートあれば1を参照するには:#serviceのiptablesの状況を
2、スタート:#serviceのiptablesが開始
3、停止:#serviceのiptablesの停止
グレップのiptables | #chkconfigという--list:各ブート起動するかどうかを確認するには4、
5、設定した各ブート:#chkconfigという--level 35のiptablesの上
6. [保存則:#serviceのiptablesのは、ストレージファイル#iptablesのセーブ指定することができ、保存>、/ etc / sysconfig / iptables内
iptablesの構造
図1に示すように、4つのテーブル:--filterフィルタテーブル--natアドレス変換テーブルを変更--mangle生追跡テーブル-tパラメータテーブル選択テーブル(テーブル優先レベル4に記載)(デフォルトのテーブルは、使用されます)
2、5チェーン:PREROUTING、入力(共通)は、前方、出力、パラメータをPOSTROUTING(-P鎖の前に:新しいチェーン-L:ルールを示し-a:-D追加ルール:ルール-I削除:挿入ルールを - R:ルール-Fを置き換える:明確なカウント-X:ルール-Zを削除チェーン上の操作の連鎖)のルールを削除します
図3に示すように、フィルタ規則:送信元IPは-s、ソースポート--sport、対象IPの-d、ポート--dport、プロトコル(TCP、UDP、ICMP)-p、--state状態、-i着信インターフェイス、データをターゲットに-o発信インターフェイス
図4に示すように、アクションを実行する:-J:受け入れるドロップ、拒否、MASQUERADEは(送信元IPファイアウォールのIPアドレスを書き換えます)
図5に示すように、他のモジュールの濾過-mのローディング(状態状態(NEW、ESTABLISHED、RELATED、INVALID)、マルチポートマルチ、リミット・パケット・トラフィック、ネットワークカードのMACアドレス)
iptablesのの例
。1、 iptablesの-A --dportパッケージ22に流入## ICMPエコー応答ターゲットポートとTCP --reject REJECT -j 22 -p INPUTが拒否され、拒否メッセージを返します
ポート8081への操舵のターゲットポート80へのパケットに流入し、ポート8081 ## - 80 -j REDIRECT --dport 2、iptablesの-t NAT -A PREROUTING -p TCP
3、iptablesの-tのnat -A POSTROUTING -p TCPは、ソースパケットプロトコルTCP、IPのIPファイアウォールを変更する--to-ポート21000から31000 ##流れをMASQUERADE -j
eth0のカードに2100から3200 ## - 変換元IPプロトコル、TCPのポー流出物:4、iptablesの-t NAT -A POSTROUTING -p TCP -o eth0の-j SNAT --toソース192.168.10.15-192.168.10.160
5、iptablesの-A INPUTは##袋にターゲットポート80話の流れを受けるACCEPT -j 80 --dport TCP -p
図6において、##は、パケットの宛先ポートが22/53/80/110に流入受信ACCEPT -j -A INPUT -p TCPの-mマルチポート--destinationポート22,53,80,110をiptablesの
7、のiptables -A INPUT -m限界--limit時間あたり3つのパッケージ内に流れを制限する## 3 /時間
8、のiptables -A INPUT -m MAC --macソース00:00:00:00:00:01 ##は、指定されたソースパケットは、MACに流入受信ACCEPT -j
図9に示すように、INPUT -m状態は、関連する--state -Aのiptablesは、受信状態に接続された## ACCEPT -j確立され、パケットは、関連するフロー
10、iptablesのINPUT -R 2 -S 172.16.0.0/16 -d 172.16.100.1 -p TCPは--dport 22 -m状態--state NEW、あるいは第二のルールは、ソースIP宛先を指定する## ACCEPT -j ESTABLISHED / PORTと状態が確立されると、新たなパケットが流れ、