防火牆－iptables

觀念

iptables 常用指令及參數介紹

1. iptables-save
查詢目前的所有規則（/etc/sysconfig/iptables），配合 iptables-restore 可備份及回復防火牆設定。
# iptables-save　>　rules.fw
# iptables-restore　<　rules.fw


2. (A)/etc/init.d/iptables save
(B)/sbin/service iptables save
儲存新規則，重啟服務後新規則不會消失


3. iptables　-F
清除所有規則


4. iptables　-v
詳細模式
　

5. iptables　-Z
統計數據歸零
# iptables -L INPUT -v --line-number | grep -E -w '1|20'
# iptables -Z
# iptables -L INPUT -v --line-number | grep -E -w '1|20'




6. iptables　-n
   以數值顯示 IP 位址及通訊埠號
   
   
   
   
7. iptables　-t　table_name　-L
查看 table 內的規則
# iptables　-L　　// 預設為 filter
# iptables　-t　nat　-L 註：table 的種類 filter、nat、mangle、raw


8. iptables　-P　chain　target
變更 chain 的預設政策（policy）
filter table 的 chain 有 INPUT、FORWARD 及 OUTPUT
target 區分為 ACCEPT、REJECT、DROP




9. iptables --line-numbers
顯示行數 # iptables -L INPUT --line-numbers




10. iptables -t table_name -N chain_name
自訂 chain：方便管理同類型的規則 # iptables -F　　// 清除所有規則
# iptables -L
# iptables -t filter -N SSH　　// 增加自訂 Chain，把 SSH 相關的規則加在這個裡面比較好管理。
# iptables -A SSH -i eth0 -p tcp --dport 22 -j DROP
# iptables -L



但這樣子 SSH Chain 並沒有作用，要加到預設的 Chain 才會有作用，例如加到 Filter table 的 INPUT Chain，請比較上下圖並注意 references 從 0 變成 1。（20150410修訂）自訂chain請使用-I加到INPUT TABLE才有作用。




刪除自訂chain：必須先清除（空）相關的規則才能刪除。 # iptables -t table_name -X chain_name

11. iptables -p icmp -h
顯示ICMP的相關參數
範例：阻擋別人Ping主機 # iptables -I INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP