iptablesのコマンドは、一般的にLinux上でファイアウォールソフトウェアを使用している、それはnetfilterのプロジェクトの一部です。これは直接設定、またはフロントエンドとGUI構成の数を通ることができます。
まず、文法
iptablesの(オプション)(パラメータ)
第二に、オプション
-t <TABLE>:操作するテーブルを指定し; -Aは:チェーン内のルールにエントリを追加; -D:チェーン内のルールから削除エントリを、 -i:チェーン内のルールにエントリを挿入するステップと、 -R&LT:置換は、鎖を支配エントリー; -L:既に表示ルールエントリチェーンにおける; -F:チェーンエントリが明らかに既存のルール; -Z:チェーン電卓パケットとバイトのカウンターで空のルール; -N:新しいユーザーを作成します。カスタムルールチェーン; -P:チェーン内のデフォルトオブジェクト定義ルール; -H:表示するヘルプ情報; -p:パケットタイプが一致するプロトコルを指定します。 -s:指定は、パケットの送信元アドレスのIPと一致する; -j <ターゲット>:ジャンプする標的; -i <ネットワークインタフェース>:指定したパケットは、マシンのネットワーク・インタフェースに入り、 -o <ネットワークインタフェース>:指定のマシンが使用するネットワーク・インターフェースを残しデータパケットを。
1、iptablesのは、注文を入力するためのオプションをコマンド:
--sport元ポート<ソースIP /ソースサブネット-s> iptablesの-tテーブル<-A / I / D / R>連鎖ルール名[ルール番号] <-i / Oカード名> -pプロトコル名< -dターゲットIP /宛先サブネット> --dport宛先ポート-jアクション
表の名前が含まれます:
- RAW:URLフィルタリング:高度のような、特徴。
- マングル:パケットの変更(QOS)、サービス品質を実行するため。
- NET:アドレス変換、ゲートウェイルータ。
- フィルタ:パケットフィルタリング、ファイアウォールのルールが使用されます。
チェーンの名前が含まれルール:
- INPUTチェーン:入力データパケットを処理します。
- OUTPUTチェーン:出力データ・パケットを処理します。
- PORWARDチェーン:前方パケットを処理します。
- PREROUTINGチェーン:ターゲット・アドレス変換(DNAT)のために。
- POSTOUTINGチェーン:ソースアドレス変換(SNAT)。
アクションは次のとおりです。
- 受け入れ:データパケットを受信します。
- DROP:パケットを破棄する。
- REDIRECT:リダイレクト、マッピング、透過プロキシ。
- SNAT:ソースアドレス変換。
- DNAT:宛先アドレス変換。
- MASQUERADE:ADSL用IPマスカレード(NAT)、。
- LOG:ロギング。
第三に、一般的な例
1、既存のiptablesのルールを削除します
iptablesの-F iptablesの-X のiptables -Z
2は、指定されたポートを開きます
iptablesの-A入力は、-j 127.0.0.1 -d 127.0.0.1を-s #はACCEPT (即ち、マシンへのアクセスがネイティブ実行)ローカルループバックインタフェースを可能にする のiptables -A INPUT -m状態が設立され、許可された#ザ関連ACCEPT -j --state確立または接続された通路は #が外側にすべてのローカルへのアクセスを許可ACCEPT -j -A OUTPUTは、iptablesの -A INPUTをiptablesの-p TCP --dport 22 -j #ACCEPT ポートへのアクセスを許可するように22 -A INPUT -p tcpのをiptablesの-ポートへのアクセスを許可するように#80をACCEPT -j 80を-dport -p TCP --dport 21 -j -A INPUTをiptablesの #ACCEPT FTPサービスポート21の許可 iptablesの-A INPUT -p tcpのを--dport 20 -j ACCEPT#は、 FTPサービスを許可します20ポートが アクセスを許可されていません#が他のルールを禁止拒否-j -A INPUTをiptablesの 許可されていません#他のルールは、アクセスを禁止REJECT -j -A FORWARDをiptablesの
2、ブロックIP
iptablesの-I入力が123.45.6.7 -j DROP位シールド単一IPコマンドが-s -I INPUTは123.0.0.0/8 -j DROP位シール123.255.255.254すなわちコマンドに123.0.0.1から全期間-s iptablesの iptablesの-I INPUTは123.45.0.1から123.45.255.254コマンドに即ち124.45.0.0/16 -j DROP#IP閉鎖セグメントが-s -I INPUTがIPに123.45.6.1から123.45.6.0/24 -j DROP#シールセグメント、すなわちを-s iptablesの123.45.6.254コマンド
3、iptablesのルールが追加されている参照
iptablesの-L -n -v
4、削除、追加のiptablesのルール
4.1は、すべてのiptablesのは、シリアル番号の表示をマークするために実行します:
iptablesの-L -n --line-番号
あなたはINPUT 8でルールを削除するシリアル番号など4.2は、実行します。
iptablesの-DのINPUT 8
四、頻繁に使用するコマンドのiptables
サービスのiptablesは#始動開始 iptablesの再起動#再起動サービスを #保存保存サービスのiptables サービス停止#停止iptablesの サービスがステータス#チェック状態をiptablesの iptablesの-L -v#テーブルを表示することをお勧めする場合、外方向に-vパラメータ、ディスプレイ情報などを置きます情報はより完全かつ詳細な表示しました。 iptablesの-A INPUTが-i eth0の-s 192.168.0.0/16 -j #をACCEPT に、INPUTチェインのルールを追加し、ネイティブデータを宛先eth0の192.168.0.0/16のネットワークポートの送信元アドレスからの受信 のiptables -D #ルールを削除するには、コマンドにアクセスすることができます番号は -F#すべてのルールが削除されるiptablesの iptablesのセーブ指定されたディレクトリ指定されたファイルへ> /home/pi/iptables.bak#バックアップルール </ホーム/パイiptablesのリストア / iptablesの。 BAK#は、指定したファイルルールの復元 に、/ etc / sysconfig / iptables内の設定の保存#保存サービスのiptablesを
注:上記のコマンドはでUbuntuの/ Debianでは使用できません。
NATテーブルにファイアウォールのルールをチェック [root@Thost crh]# iptables -t nat -L -n --line-numbers
あなたはそれを確認することですルールを削除してもよろしいが、いくつかのルールは、フロントのルールは、次を削除し、シリアル番号numを持っています:iptables -t nat -D POSTROUTING 1
まず、文法
iptablesの(オプション)(パラメータ)
第二に、オプション
-t <TABLE>:操作するテーブルを指定し; -Aは:チェーン内のルールにエントリを追加; -D:チェーン内のルールから削除エントリを、 -i:チェーン内のルールにエントリを挿入するステップと、 -R&LT:置換は、鎖を支配エントリー; -L:既に表示ルールエントリチェーンにおける; -F:チェーンエントリが明らかに既存のルール; -Z:チェーン電卓パケットとバイトのカウンターで空のルール; -N:新しいユーザーを作成します。カスタムルールチェーン; -P:チェーン内のデフォルトオブジェクト定義ルール; -H:表示するヘルプ情報; -p:パケットタイプが一致するプロトコルを指定します。 -s:指定は、パケットの送信元アドレスのIPと一致する; -j <ターゲット>:ジャンプする標的; -i <ネットワークインタフェース>:指定したパケットは、マシンのネットワーク・インタフェースに入り、 -o <ネットワークインタフェース>:指定のマシンが使用するネットワーク・インターフェースを残しデータパケットを。
1、iptablesのは、注文を入力するためのオプションをコマンド:
--sport元ポート<ソースIP /ソースサブネット-s> iptablesの-tテーブル<-A / I / D / R>連鎖ルール名[ルール番号] <-i / Oカード名> -pプロトコル名< -dターゲットIP /宛先サブネット> --dport宛先ポート-jアクション
表の名前が含まれます:
- RAW:URLフィルタリング:高度のような、特徴。
- マングル:パケットの変更(QOS)、サービス品質を実行するため。
- NET:アドレス変換、ゲートウェイルータ。
- フィルタ:パケットフィルタリング、ファイアウォールのルールが使用されます。
チェーンの名前が含まれルール:
- INPUTチェーン:入力データパケットを処理します。
- OUTPUTチェーン:出力データ・パケットを処理します。
- PORWARDチェーン:前方パケットを処理します。
- PREROUTINGチェーン:ターゲット・アドレス変換(DNAT)のために。
- POSTOUTINGチェーン:ソースアドレス変換(SNAT)。
アクションは次のとおりです。
- 受け入れ:データパケットを受信します。
- DROP:パケットを破棄する。
- REDIRECT:リダイレクト、マッピング、透過プロキシ。
- SNAT:ソースアドレス変換。
- DNAT:宛先アドレス変換。
- MASQUERADE:ADSL用IPマスカレード(NAT)、。
- LOG:ロギング。
第三に、一般的な例
1、既存のiptablesのルールを削除します
iptablesの-F iptablesの-X のiptables -Z
2は、指定されたポートを開きます
iptablesの-A入力は、-j 127.0.0.1 -d 127.0.0.1を-s #はACCEPT (即ち、マシンへのアクセスがネイティブ実行)ローカルループバックインタフェースを可能にする のiptables -A INPUT -m状態が設立され、許可された#ザ関連ACCEPT -j --state確立または接続された通路は #が外側にすべてのローカルへのアクセスを許可ACCEPT -j -A OUTPUTは、iptablesの -A INPUTをiptablesの-p TCP --dport 22 -j #ACCEPT ポートへのアクセスを許可するように22 -A INPUT -p tcpのをiptablesの-ポートへのアクセスを許可するように#80をACCEPT -j 80を-dport -p TCP --dport 21 -j -A INPUTをiptablesの #ACCEPT FTPサービスポート21の許可 iptablesの-A INPUT -p tcpのを--dport 20 -j ACCEPT#は、 FTPサービスを許可します20ポートが アクセスを許可されていません#が他のルールを禁止拒否-j -A INPUTをiptablesの 許可されていません#他のルールは、アクセスを禁止REJECT -j -A FORWARDをiptablesの
2、ブロックIP
iptablesの-I入力が123.45.6.7 -j DROP位シールド単一IPコマンドが-s -I INPUTは123.0.0.0/8 -j DROP位シール123.255.255.254すなわちコマンドに123.0.0.1から全期間-s iptablesの iptablesの-I INPUTは123.45.0.1から123.45.255.254コマンドに即ち124.45.0.0/16 -j DROP#IP閉鎖セグメントが-s -I INPUTがIPに123.45.6.1から123.45.6.0/24 -j DROP#シールセグメント、すなわちを-s iptablesの123.45.6.254コマンド
3、iptablesのルールが追加されている参照
iptablesの-L -n -v
4、削除、追加のiptablesのルール
4.1は、すべてのiptablesのは、シリアル番号の表示をマークするために実行します:
iptablesの-L -n --line-番号
あなたはINPUT 8でルールを削除するシリアル番号など4.2は、実行します。
iptablesの-DのINPUT 8
四、頻繁に使用するコマンドのiptables
サービスのiptablesは#始動開始 iptablesの再起動#再起動サービスを #保存保存サービスのiptables サービス停止#停止iptablesの サービスがステータス#チェック状態をiptablesの iptablesの-L -v#テーブルを表示することをお勧めする場合、外方向に-vパラメータ、ディスプレイ情報などを置きます情報はより完全かつ詳細な表示しました。 iptablesの-A INPUTが-i eth0の-s 192.168.0.0/16 -j #をACCEPT に、INPUTチェインのルールを追加し、ネイティブデータを宛先eth0の192.168.0.0/16のネットワークポートの送信元アドレスからの受信 のiptables -D #ルールを削除するには、コマンドにアクセスすることができます番号は -F#すべてのルールが削除されるiptablesの iptablesのセーブ指定されたディレクトリ指定されたファイルへ> /home/pi/iptables.bak#バックアップルール </ホーム/パイiptablesのリストア / iptablesの。 BAK#は、指定したファイルルールの復元 に、/ etc / sysconfig / iptables内の設定の保存#保存サービスのiptablesを
注:上記のコマンドはでUbuntuの/ Debianでは使用できません。
NATテーブルにファイアウォールのルールをチェック [root@Thost crh]# iptables -t nat -L -n --line-numbers
あなたはそれを確認することですルールを削除してもよろしいが、いくつかのルールは、フロントのルールは、次を削除し、シリアル番号numを持っています:iptables -t nat -D POSTROUTING 1