Itables使用方法Word下载.docx
- 文档编号:7737724
- 上传时间:2023-05-09
- 格式:DOCX
- 页数:18
- 大小:22.17KB
Itables使用方法Word下载.docx
《Itables使用方法Word下载.docx》由会员分享,可在线阅读,更多相关《Itables使用方法Word下载.docx(18页珍藏版)》请在冰点文库上搜索。
-A,--appendchainrule-specification
在选中的链后增加一条或多条规则。
当源和/或目的代表了不止一个地址,规
则要增加到每一个可能的地址上。
-D,--deletechainrule-specification
-D,--deletechainrulenum
从选中的链中删除一条或多条规则。
有两个版本命令可用:
可以指定在链中规
则的号码,也可以指定匹配的规则。
-I,--insert
在选中的链中按照给出的规则号码插入一条或多条规则。
如果没有规则号码指
定,默认值为1。
插入到链的头部。
-R,--replacechainrulenumrule-specification
在指定的链中替换一条规则。
如果源和/或目的代表了多个地址,命令失败。
规则号码从1开始。
-L,--list[chain]
列出所有指定链的规则,如果没有指定链,列出所有链的规则。
像其他的每一
个命令一样,必须指定应用的表(filter是默认的),因此mangle表的规则通
过命令ip6tables–tmangle–n–L来显示。
-n选项避免长反向DNS查找。
-Z选
项将列出的规则值自动清零。
如果要查看详细的输出,用ip6tables–L-v
-F,--flush[chain]
刷新指定的链(如果没有指定链,刷新这个表的所有链)。
相当于删除链的所
有规则
-Z,--zero[chain]
将链中的包数和字节数清零。
通常和-L,--list一起使用。
-N,--new-chainchain
建立一个用户定义的新链,名称不能是target指定的。
-X,--delete-chain[chain]
删除指定的用户定义的链。
这个链不能被使用,如果在使用,现删除上面的规
则。
如果没有指定参数,删除表中所有非内置链。
-P,--policychaintarget
为给定target的链设置策略。
target的设置参见“目标”一节。
只有内置的链
可以有策略,所有链的都可以有target策略。
-E,--rename-chainold-chainnew-chain
改变用户指定链的名称,对表的结构没有影响。
-h帮助
参数组
下面的参数是建立规则的说明。
-p,--protocol[!
]protocol
规则或包检查的协议。
指定的协议可以是tcp,upd,icmpv6,esp中的一个或
全部。
也可以是数值,代表这些协议中的某一个。
也可以使用/etc/protocols中
的协议名。
除了esp外ipv6的扩展头是不允许使用的。
在协议名前的“!
”表
示相反的规则。
数字0相当于所有协议all。
协议all会匹配所有的协议,而且
这是缺省的选项。
-s,--source[
!
]address[/mask]
指定源地址。
地址可以是主机名,一个带掩码的ipv6网络地址,或者一个ipv6
地址。
掩码可以是网络掩码,也可以是一个数字。
地址前面的“!
”说明指定
地址相反的情况。
--src是这个选项的别名。
-d,--destination[!
指定目的地址。
语法同上。
--dst是这个选项的别名。
-j,--jumptarget
指定规则的目标。
就是如果包匹配了下一步做什么。
目标可以是用户自定义的
链(不是这条规则所在的),立即决定包命运的特别内置目标之一,或者一个
扩展(参见下面的EXTENSIONS)。
如果规则的这个选项省略,那么匹配的过
程不会对包的命运产生影响,不过规则的计数器会增加。
-i,--in-interface[!
]name
包被接收时经过的接口名称(仅用于包进入INPUT、FORWARD、
PREROUTING链)。
接口名称前有“!
”时,情况相反。
如果接口名称以“+”
结束,任何以该名称开始的接口都匹配。
如果该项省略,匹配任何名称接口。
-o,--out-interface[!
]name
包发送时经过的接口名称(用于FORWARD、OUTPUT链)。
接口名称前有“!
”
时,情况相反。
如果接口名称以“+”结束,任何以该名称开始的接口都匹配。
-c,--set-countersPKTSBYTES
初始化规则中包和字节的计数器。
(在INSERT、APPEND、REPLACE操作时)
其他选项
-v,--verbose
详细输出。
这个选项可以让list命令显示接口名称,规则选项(如果有),和
TOS掩码。
包和字节计数器也被显示,分别用数字和K、M、G(后缀)表示
1000、1,000,000、1,000,000,000的倍数(-x标志可以改变)。
对于添加、插入、
删除、替换命令,能够使一个或多个规则的详细信息打印出来。
-n,--numeric
数字输出。
IP地址和端口号以数字形式显示。
默认情况下,程序将以主机名
称,网络名称,或者服务(只要合适)显示。
-x,--exact
扩展数字。
显示包和字节计数器的精确值,代替用K、M、G显示的约数。
这
个选项只能用于-L命令
--line-numbers
当显示规则时,给每个规则前加上编号。
这个编号与规则在链中的的位置一致。
--modprobe=command
在链表中添加和插入规则时,用“command”加载所需的模块(目标、匹配扩
展等)。
匹配扩展
ip6tables能够使用与模块匹配的扩展包。
有两种加载方式:
用-p或--protocol指定,
或者用-m或--match选项,后跟匹配的模块名称。
然后,相对于指定模块的各种扩
展的命令行选项可以使用。
在一行中可以指定多个匹配的扩展模块。
ah
这个模块匹配IPSec包的认证包头参数。
--ahspi[i]spi[:
spi]
匹配SPI
--ahlen[i]length
以字节为单位的包头的总长度
--ahres
如果保留位字段都是0,匹配
condition
--condition[!
]filename
匹配存储在文件/proc/net/ip6t_condition/filename中的布尔值。
dst
该模块匹配目的地址选项包头参数
--dst-len[!
]length
--dst-optstype[:
length][,type[:
length]…]
以字节为单位的选项类型号和选项数据长度
esp
该模块匹配IPSec包的ESP包头的SPIs
--espspi[!
]spi[:
eui64
该模块匹配IPv6地址无状态自动分配的EUI-64部分。
它比较来源于以太网帧中
IPv6源地址的低64位的源mac地址的EUI-64。
但是“全球/本地”位不比较。
该
模块不能匹配其他链路的帧,并且只在PREROUTING、INPUT和FORWARD链
中应用。
frag
该模块匹配分片包头参数
--fragid[i]id[:
id]
匹配给定的标识符或者其范围
--fraglen[i]length
该选项不能用在或之后版本
--fragres
--fragfirst
匹配第一个分片
[--fragmore]
如果有更多的分片,匹配
[-fraglast]
如果是最后一个分片,匹配
fuzzy
该模块匹配在一个模糊逻辑控制基础上的速率限制
--lower-limitnumber
指定一个最低限制(每秒包数)
--upper-limitnumber
指定一个最高限制(每秒包数)
hbh
该模块匹配Hop-by-Hop选项头参数
--hbh-len[!
以字节为单位的包头的总长度
--hbh-optstype[:
length][,type[:
以字节为单位的选项类型的号码和选项数据的长度
hl
该模块匹配IPv6包头的下一跳字段
--hl-eq[!
]value
如果下一跳限制等于value值,匹配
--hl-lq[!
如果下一跳限制小于value值,匹配
--hl-gq[!
如果下一跳限制大于value值,匹配
icmpv6
--icmpv6-type[!
]type[/code]typename
所允许的ICMPv6类型的说明,ICMPv6类型的号码,类型和编码,或者其中
之一的类型名称。
通过下面命令显示:
ip6tables–pipv6-icmp-h
ipv6header
该模块匹配Ipv6扩展包头和/或上层协议包头
--header[!
]header[,header...]
并不是所有指定的包头的包都匹配。
封装了ESP扩展包头的包就不在其中。
header参数可以是Hop-by-Hop、dst、route、frag、auth、esp、none,或者上
层协议的包头。
/etc/protocol文件中的协议名字也可以,也允许数值。
255相
当于上层协议包头。
[--soft]
使用参--header指定的所有包头中至少有一个匹配
length
该模块匹配以字节为单位的Ipv6净载荷的长度,或者长度范围。
ipv6包头本身不
包括。
--length[!
]length[:
length]
limit
该模块匹配使用令牌桶过滤的一个限制速率。
使用这个扩展模块的规则直到速率达
到限制的速率才匹配。
可以和LOG目标一起使用,
--limitrate
匹配最大的平均速率。
--limit-burstnumber
匹配最大的初始包数。
在没有到达限制时,可以改变限制数。
默认为5
mac
--mac-source[!
]address
匹配源mac地址。
(IPv6是否能用?
)只用在PREROUTING、FORWARD和
INPUT链上。
mark
该模块匹配与包有联系的netfiltermark字段(能用下面MARKtarget设置的包)
--markvalue[/mask]
用指定的无符号mark值匹配包(如果指定了mask,在比较前用mask进行逻辑
与)
multiport
该模块匹配一组源或目的端口。
总共可以指定15个。
一个端口范围(port:
port)
算两个,但是范围现在不支持。
只能使用在-ptcp和-pudp一起时。
--source-ports[!
]port[,port[,port:
port...]]
如果源端口是指定的端口之一,匹配成功。
--sports是该选项方便的别名。
--destination-ports[!
如果目的端口是指定的端口之一,匹配成功。
--dports是该选项方便的别名。
--ports[!
如果源端口和目的端口是指定的端口之一,匹配成功。
nth
(省略)
owner
该模块匹配本地产生的包的各种特征。
只应用于OUTPUT链,甚至一些没有owen
的包(ICMPv6ping的响应包),因此永远无法匹配。
--uid-owneruerid
如果给定用户ID进程产生的包匹配。
--gid-ownergroupid
如果给定组ID的进程产生的包匹配
--pid-ownerprocessed
如果给定进程号的进程产生的包匹配
--sid-ownersessionid
如果给定的会话组进程产生的包匹配
注意:
如果在SMP情况下pid和sid不成立
physdev
该模块匹配被桥设备使用的输入和输出的端口。
--physdev-in[!
桥端口的名称,经过给端口接收包。
(只用于INPUT、FORWARD、
如果接口名称以“+”结束,任何以该名称开头的接口都
匹配
--physdev-out[!
桥端口的名称,经过给端口发送包。
(只用于OUTPUT、FORWARD、
PPSTROUTING链)。
如果接口名称以“+”结束,任何以该名称开头的接口
都匹配
[!
]--physdev-is-in
如果进入的包通过桥接口匹配
]--physdev-is-out
如果离开的包通过桥接口匹配
]--physdev-is-bridged
如果包是桥接的而不是路由的匹配。
只用于FORWARD和POSTROUTING链。
policy
该模块匹配IPSec处理包的策略。
--dirin|out
选择是匹配解封策略,还是封装策略。
in用于PREROUTING、INPUT和
FORWARD链。
out用于POSTROUTING、OUTPUT和FORWARD链
--polnone|ipsec
如果这个包被IPSec处理匹配
--strict
选项是否匹配精确测量,或者给出的策略的任意规则。
--spispi
匹配SA的SPI
--protoah|esp|ipcomp
匹配封装协议
--modetunnel|transport
匹配封装模式
--tunnel-srcaddr[/mask]
匹配一个隧道模式源端点地址。
只用在--modetunnel
--tunnel-dstaddr[/mask]
匹配一个隧道模式目的端点地址。
--next
从指定策略的下一个开始。
只用于--strict
random
该模块随机匹配所有包的某个百分比。
--averagepercent
匹配指定的百分比。
如果省略,默认设置为50%
rt
匹配IPv6路由包头
--rt-type[!
]type
匹配类型(号码)
--rt-segsleft[!
]num[:
num]
(省略)
--rt-len[!
匹配包头长度
--rt-0-res
匹配保留字段(type=0)
--rt-0-addressADDR[,ADDR…]
匹配type=0的地址(列表)
--rt-0-non-strict
列出type=0的地址,而非详细显示
tcp
--source-port[!
]port[:
port]
指定了源端口或端口范围。
可以是服务名或者端口数。
通过port:
port指定一个
包括一且的范围。
第一个端口省略,默认为“0”,最后一个端口省略,默认为
“65535”。
--sport是这个选项的方便别名
--destination-port[!
指定了目的端口或端口范围。
--dport是这个选项的方便别名
--tcp-flag[!
]maskcomp
当我们指定了tcp标志时匹配。
标志中的第一个参数作为应该检测的命令分隔
符的列表,第二个参数是必须设置的标志在命令分隔符列表中。
标志有:
SYN、
ACK、FIN、RST、URG、PSH、ALL、NONE。
因此,命令“ip6tables–AFORWARD
-ptcp–tcp-flagsSYN,ACK,FIN,RSTSYN”只匹配带有SYN标志的包。
]–syn
只匹配包中含有SYN标志的。
前面加“!
”情况相反。
--tcp-opton[!
]number
如果设置了选项进行匹配
udp
细节部分描述同TCP。
目标扩展
HL
用来修改IPv6包头中的下一跳限制。
该目标只用于mangle表。
--hl-setvalue
设置跳限的值为value
--hl-decvalue
减少跳限的值
--hl-incvalue
增加跳限的值
LOG
打开内核中匹配包的日志。
--log-levellevel
记录日志的级别
--log-prefixprefix
给日志加上指定的前缀。
总共29个字母长。
--log-tcp-sequence
日志的tcp序列号
--log-tcp-option
记录来自于tcp包头的选项
--log-ip-option
记录来自于Ipv6包头的选项
--log-uid
记录产生包的进程的用户ID
MARK
设置包的netfiltermark值。
只用于mangle表。
--set-markmark
NFQUEUE
该目标作为QUEUE目标的扩展。
作为QUEUE的相反项,允许把包放入任意指定
的队列,该队列被16位队列号标示。
--queue-numvalue
指定使用的队列号。
队列号从0到65535,默认是0
REJECT
用来对匹配的包发送一个错误包响应。
否则等同于DROP。
该目标只能用于INPUT、
FORWARD和OUTPUT链
--reject-withtype
type可以为icmp6-no-routeno-routeicmp6-adm-prohibitedadm-prohibited
icmp6-addr-unreachableaddr-unreachicmp6-port-unreachableport-unreach
返回合适的ICMP6差错报文(默认port-unreach)。
最后tcp-reset可以在匹配
TCP协议中的规则应用。
ROUTE
只用于mangle表
--oififname
通过指定的网络接口名称路由包
--gwIPv6_address
经过指定的网关路由包
--continue
象没有终止目标一样,继续遍历规则。
--tee
备份包,将备份的包路由的目的地。
原包象没有终止目标一样,继续遍历规则。
TRACE
为所有匹配规则的包打开包的跟踪。
IP6tables用法说明:
1.规则设置的作用是按照先设置的起作用。
2.支持多端口,最多不能超过15个。
例如:
ip6tables–AFORWARD–pTCP–mmultiport--dport21,22,23,24–jDROP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Itables 使用方法