规则

-A, --append

在所选择的链末添加规则。当源地址或目的地址是以名字而不是ip地址的形式出现时，若这些名字可以被解析为多个地址，则这条规则会和所有可用的地址结合

iptables -A INPUT ...

-D, --delete

从所选链中删除规则。有两种方法指定要删除的规则：

1. 把规则完完整整地写出来
2. 指定规则在所选链中的序号：每条链的规则都各自从1被编号

iptables -D INPUT --dport 80 -j DROP

iptables -D INPUT 1

-R, --replace

在所选中的链里指定的行上（每条链的规则都各自从1被编号）替换规则

主要的用处是 试验不同的规则 。当源地址或目的地址是以名字而不是ip地址的形式出现时，若这些名字可以被解析为多个地址，则 这条command会失败

iptables -R INPUT 1 -s 192.168.0.1 -j DROP

-I, --insert

根据给出的规则序号向所选链中插入规则。 如果序号为1， 规则会被插入链的头部 ， 默认序号就是1

iptables -I INPUT 1 --dport 80 -j ACCEPT

-L, --list

显示所选链的所有规则：

• 如果没有指定链，则显示指定表中的所有链
• 如果什么都没有指定，就显示默认表所有的链

精确输出受其它参数影响，如 -n 和 -v 等参数

iptables -L INPUT

-F, --flush

清空所选的链：

• 如果没有指定链，则清空指定表中的所有 链
• 如果什么都没有指定，就清空默认表所有的链

也可以一条一条地删，但用这个command会快些

iptables -F INPUT

-Z, --zero

把指定链（如未指定，则认为是所有链）的所有计数器归零

iptables -Z INPUT

-N, --new-chain

根据用户指定的名字建立新的链

iptables -N allowed

注意：所用的名字不能和已有的链、target同名

-X, --delete-chain

删除指定的用户自定义链：

• 如果没有给出参数，这条命令将会 删除默认表所有非内建的链

iptables -X allowed

注意： 这个链必须没有被引用 ，如果被引用，在删除之前你必须删除或者替换与之有关的规则

-P, --policy

为链设置默认的target（可用的是DROP 和ACCEPT），这个target称作策略

iptables -P INPUT DROP

• 所有不符合规则的包都被强制使用这个策略
• 只有内建的链才可以使用规则
• 但内建的链和用户自定义链都不能被作为策略使用，也就是说不能象这样使用：

iptables -P INPUT allowed（或者是内建的链）

-E, --rename-chain

对自定义的链进行重命名，原来的名字在前，新名字在后

iptables -E allowed disallowed

把 allowed 改为 disallowed 。这仅仅是改变链的名字，对整个表的结构、工作没有任何影响

-v, --verbose

这个选项使输出详细化，常与 –list 连用:

• –list 连用时：输出中包括
  • 网络接口的地址
  • 规则的选项
  • TOS掩码
  • 字节和包计数器:
    • 计数器是以K、M、G（这里用的是10的幂而不是2的幂哦）为单位的
• 和 –append 、 –insert 、 –delete 或 –replace 连用，iptables会输出详细的信息告诉规则是如何被解释的、是否正确地插入等等

-X --exact

使 –list 输出中的计数器显示准确的数值，而不用K、M、G等估值

注意：此选项只能和–list连用

-n, --numeric

使输出中的IP地址和端口以数值的形式显示，而不是默认的名字：

• 主机名
• 网络名
• 程序名等

注意：此选项也只能和 –list 连用

--line-numbers

显示出每条规则在相应链中的序号。这样可以知道序号了，这对插入新规则很有用

注意：此选项也只能和 –list 连用

-c, --set-counters

在创建或更改规则时设置计数器

--set-counters 20 4000

让内核把包计数器设为20，把字节计数器设为4000

可以搭配的命令：

• –insert
• –append
• –replace

--modprobe

告诉iptables探测并装载要使用的模块。万一modprobe命令不在搜索路径中，就要用到了。有了这个选项， 在装载模块时，即使有一个需要用到的模块没装载上，iptables也知道要去搜索

-p, --protocol

匹配 指定的协议 。指定协议的形式有以下几种：

1. 名字，不分大小写，但必须是在 /etc/protocols 中定义的
2. 可以使用它们相应的整数值。例如
   • ICMP : 1
   • TCP : 6
   • UDP : 17
3. 缺省设置， ALL ，相应数值是 0 ，但要注意这只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定义的所有协议
4. 可以是协议列表，以英文逗号为分隔符，如： udp,tcp
5. 可以在协议前加英文的感叹号表示取反，注意 有空格 ，如:
   • –protocol ! tcp 表示非tcp协议，也就是 UDP和ICMP 。可以看出这个取反的范围只是TCP、UDP和ICMP

iptables -A INPUT -p tcp

-s, --src, --source

以 IP源地址 匹配包。地址的形式如下：

1. 单个地址，如
   • 192.168.1.1
   • 192.168.1.1/255.255.255.255
   • 192.168.1.1/32
2. 网络，如
   • 192.168.0.0/24
   • 192.168.0.0/255.255.255.0
3. 在地址前加 感叹号 表示取反，注意 空格
   • –source ! 192.168.0.0/24 表示除此地址外的所有地址
4. 缺省: 所有地址

iptables -A INPUT -s 192.168.1.1

-d, --dst, --destination

以 IP目的地址 匹配包。地址的形式和 –source 完全一样

iptables -A INPUT -d 192.168.1.1

-i, --in-interface

以 包进入本地所使用的网络接口 来匹配包。这个匹配操作只能用于 INPUT ， FORWARD 和 PREROUTING 这三个链，用在其他任何地方都会提示错误信息。指定接口有以下方法：

1. 指定接口名称，如：
   • eth0
   • ppp0等
2. 使用 通配符 ，即 加号，它代表字符数字串
   • iptables -A INPUT -i + : 匹配所有的包，而不考虑使用哪个接口。这也是不指定接口的默认行为
   • eth+ : 所有Ethernet接口，也就是说，匹配所有从Ethernet接口进入的包
3. 在接口前加 感叹号 表示取反，注意 _空格_，
   • -i ! eth0 ：匹配来自除eth0外的所有包

iptables -A INPUT -i eth0

-o, --out-interface

以 包离开本地所使用的网络接口 来匹配包。指定接口的方法与 –in-interface 完全一样

iptables -A FORWARD -o eth0

-f, --fragment

用来匹配 一个被分片的包的第二片或及以后的部分 。因为它们不包含源或目的地址，或ICMP类型等信息，其他规则无法匹配到它，所以才有这个匹配操作：

• 防止碎片攻击
• 可以加 感叹号 表示取反，但注意 位置
  • ! -f : 只能匹配到没有分片的包或者是被分片的包的第一个碎片，其后的片都不行

iptables -A INPUT -f

  现在内核有完善的碎片重组功能，可以防止碎片攻击，所以不必使用取反的功能来防止碎片通过

  如果使用连接跟踪，是不会看到任何碎片的，因为在它们到达任何链之前就被处理过了

TCP matches只能匹配 TCP包或流 的细节，必须有 –protocol tcp 作为前提条件

UDP matches是在指定 –protocol UDP 时自动装入的。UDP是一种 无连接协议 ，所以在它打开、关闭连接以及在发送数据时没有多少标记要设置，它也不需要任何类型的确认。数据丢失了， 就丢失了（不会发送ICMP错误信息的）。这就说明UDP matches要比TCP matches少多了。 即使UDP和ICMP是无连接协议，状态机制也可以很好的工作 ，就象在TCP上一样

ICMP协议也是无连接协议，ICMP包更是短命鬼，比UDP的还短。ICMP协议不是IP协议的下属协议，而是它的辅助者，其主要作用是 报告错误和连接控制 。ICMP包的头和IP的很相似，但又有很多不同。这个协议最主要的特点是它有很多类型，以应对不同的情况。比如，想访问一个无法访问的地址，就会收到一个ICMP host unreachable信息，它的意思是主机无法到达。虽然有这么多类型，但只有一个 ICMP matche，这就足够对付它们了。这个matche是在指定 –protocol ICMP 时自动 装入的。注意所有的通用匹配都可以使用，这样就可以匹配 ICMP包的源、目地址

这个匹配操作必须由 -m limit 明确指定才能使用：

• 对指定的规则的日志数量加以限制，以免你被信息的洪流淹没哦。比如，你可以事先设定一个限定值，当符合条件的包的数量不超过它时，就记录；超过了，就不记录了
• 可以控制某条规则在一段时间内的匹配次数 （也就是可以匹配的包的数量），这样就能够减少 DoS syn flood 攻击的影响

imit match也可以用 感叹号 取反： -m limit ! –limit 5/s ： 表示在数量超过限定值后，所有的包都会被匹配

limit match的工作方式就像一个单位大门口的保安，当有人要进入时，需要找他办理通行证

早上上班时，保安手里有一定数量的通行证，来一个人，就签发一个，当通行证用完后，再来人就进不去了，但他们不会等，而是到别的地方去

在iptables里，这相当于一个包不符合某条规则，就会由后面的规则来处理，如果都不符合，就由缺省的策略处理

但有个规定，每隔一段时间保安就要签发一个新的通行证。这样，后面来的人如果恰巧赶上，也就可以进去了

如果没有人来，那通行证就保留下来，以备来的人用

如果一直没人来，可用的通行证的数量就增加了，但不是无限增大的，最多也就是刚开始时保安手里有的那个数量

也就是说，刚开始时，通行证的数量是有限的，但每隔一段时间就有新的通行证可用

limit match有两个参数就对应这种情况：

• –limit-burst ：刚开始时有多少通行证可用
• –limit ：要隔多长时间才能签发一个新的通行证

这里强调的是 签发一个新的通行证 ，这是 以iptables的角度 考虑的。在自己写规则时，就要从这个角度考虑。比如，指定了 –limit 3/minute –limit-burst 5 :

• iptables的角度：开始时有5个通行证，用完之后每20秒增加一个
• 以用户的角度看：说法就是每一分钟增加三个或者每分钟只能过三个

要是想每20分钟过一个，只能写成 –limit 3/hour –limit-burst 5 ，也就是说 要把时间单位凑成整

基于 包的MAC源地址 匹配包

    这个match是由-m mac装入的，而不是一些人想当然的-m mac-source，后者只是前者的选项而已

以 包被设置的mark 来匹配包，这个值只能由内核更改

mark比较特殊，它不是包本身的一部分，而是在包穿越计算机的过程中由内核分配的和它相关联的一个字段

它可能被用来改变包的传输路径或过滤

时至今日，在linux里只有一种方法能设置mark，即iptables的MARK target

以前在ipchains里是FWMARK target。这就是为什么在高级路由里仍要参照FWMARK的原因

mark字段的值是一个 无符号的整数 ， 在32位系统上最大可以是 4294967296 ，就是2的32次方

多端口匹配 扩展能够在一条规则里指定不连续的多个端口，如果没有这个扩展，只能按端口来写规则了

    不能在一条规则里同时使用标准端口匹配和多端口匹配，如--sport 1024:63353 -m multiport --dport 21,23,80
    
    这条规则并不能想你想象的那样工作，但也不是不能工作，iptables会使用第一个合法的条件，那么这里多端口匹配就白写了

基于 包的生成者 （ owner ）的ID来匹配包，owner可以是：

• 启动进程的用户的ID
• 用户所在的组的ID
• 进程的ID
• 会话的ID

  只能用在OUTPUT中

  原因显而易见：几乎不可能得到发送端例程的ID的任何信息，或者在去往真正目的地的路上哪儿有路由

  甚至在 OUTPUT链里，这也不是十分可靠，因为有些包根本没有owner，比如 ICMP responses，所以它们从不会被这个match抓到

状态匹配扩展要有 内核里的连接跟踪代码的协助 ，因为它是从连接跟踪机制中得到包的状态的。这样就可以了解连接所处的状态。它几乎适用于所有的协议，包括那些无状态的协议，如ICMP和UDP。针对每个连接都有一个 缺省的超时值 ，如果连接的时间超过了这个值，那么这个连接的记录就被会从连接跟踪的记录数据库中删除，也就是说连接就不再存在了。这个match必须有 -m state 作为前提才能使用

根据TOS字段匹配包，必须使用 -m tos 才能装 入。TOS是IP头的一部分，其含义是Type Of Service，由8个二进制位组成：

• 3 bit： 优先权 子字段，现在已被忽略
• 4 bit： TOS子字段
• 1 bit： 未用位，必须置 0

  一般用来把当前流的优先权和需要的服务（比如，最小延时、最大吞吐量 等）通知路由器

  但路由器和管理员对这个值的处理相差很大，有的根本就不理会，而有的就会尽量满足要求

根据 IP头里的TTL ( Time To Live )字段 来匹配包，此必须由 -m ttl 装入

TTL field是一个字节（8个二进制位），一旦经过一个处理它的路由器，它的值就减去1它的值

当该字段的值减为0时，报文就被认为是不可转发的，数据报就被丢弃，并发送ICMP报文通知源主机，不可转发的报文被丢弃

这也有两种情况，一是传输期间生存时间为0，使用类型为11代码是0的ICMP报文
                         二是在数据报重组期间生存时间为0，使用类型 为11代码是1的ICMP报文

这个match只是根据TTL匹配包，而对其不做任何更改，所以在它之后可使用任何类型的match

--to-destination

指定要写入IP头的地址，这也是包要被转发到的地方

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10

把所有发往地址 15.45.23.67 的包都转发到一段LAN使用的私有地址中，即 192.168.1.1到 192.168.1.10 ：

• 每个流都会被随机分配一个要转发到的地址，但同一个流总是使用同一个地址
• 可以只指定一个IP地址作为参数，这样所有的包都被转发到同一台机子
• 可以在地址后指定一个或一个范围的端口：
  • –to-destination 192.168.1.1:80
  • –to-destination 192.168.1.1:80-100

只有先用--protocol指定了TCP或UDP协议，才能使用端口

SNAT 的语法和这个target的一样，只是目的不同罢了

--log-level

告诉iptables和 syslog使用哪个记录等级。记录等级的详细信息可以查看文件syslog.conf，一般来说有以下几种，它们的级别依次是：

• debug
• info
• notice
• warning/warn
• err/error
• crit
• alert
• emerg/panic

信息级别说明了 被记录信息所反映的问题的严重程度 。所有信息都是通过内核的功能被记录的：

1. 先在文件 syslog.conf里设置kern.=info /var/log/iptables
2. 再让所有关于iptables的LOG信息使用级别info，就可以把所有的信息存入文件/var/log/iptables内

iptables -A FORWARD -p tcp -j LOG --log-level debug

--log-prefix

告诉iptables在记录的信息之前加上指定的前缀。这样和grep或其他工具一起使用时就容易追踪特定的问题，而且也方便从不同的规则输出。前缀最多能有29个英文字符，这已经是包括空白字符和其他特殊符号的总长度了

iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"

--log-tcp-sequence

把包的TCP序列号和其他日志信息一起记录下来。 TCP序列号 可以唯一标识一个包，在重组时也是用它来确定每个分组在包里的位置

iptables -A INPUT -p tcp -j LOG --log-tcp-sequence

    这个选项可能会带来危险， 因为这些记录被未授权的用户看到的话，可能会使他们更容易地破坏系统
    
    任何iptables的输出信息都增加了这种危险

--log-tcp-options

记录TCP包头中的字段大小不变的选项。这对一些除错是很有价值的，通过它提供的信息，可以知道哪里可能出错，或者哪里已经出了错

iptables -A FORWARD -p tcp -j LOG --log-tcp-options

--log-ip-options

记录IP包头中的字段大小不变的选项。这对一些除错是很有 价值的，还可以用来跟踪特定地址的包

iptables -A FORWARD -p tcp -j LOG --log-ip-options

--set-mark

设置mark值，这个值是一个无符号的整数。比如，对一 个流或从某台机子发出的所有的包设置了mark值，就可以利用高级路由功能来对它们进行流量控制等操作

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

--to-ports

在指定TCP或UDP的前提下，设置外出包能使用的端口：

• 单个端口： –to-ports 1025
• 端口范围： –to- ports 1024-3000
• 不是必需的

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000

注意：在指定范围时要使用 连字号 。这改变了SNAT中缺省的端口选择

--to-ports

在指定TCP或UDP协议的前提下，定义目的端口，方式如下：

1. 不使用这个选项：目的端口不会被改变
2. 指定一个端口： –to-ports 8080
3. 指定端口范围： –to-ports 8080-8090

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

它只有一个选项，是用来控制返回的错误信息的种类的

--reject-with

告诉REJECT target应向发送者返回什么样的信息。一旦包满足了设定的条件，就要发送相应的信息，然后再象DROP一样无情地抛弃那些包。可用的信息类型有：

• icmp-net-unreachable
• icmp-host-unreachable
• icmp-port-unreachable
• icmp-proto-unreachable
• icmp-net-prohibited
• icmp-host-prohibited
• echo-reply
• tcp-reset：告诉REJECT返回一个TCP RST包，以文雅的方式关闭TCP连接

其中缺省的是 port-unreachable

iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

tcp-reset主要用来 阻塞身份识别探针 ，即113/tcp，当向被破坏的邮件主机发送邮件时， 探针常被用到，否则它不会接受你的信

--to-source

指定源地址和端口，有以下几种方式：

• 单独的地址
• 一段连续的地址，用 连字符 分隔
  • 194.236.50.155-194.236.50.160 ：可以实现负载平衡。每个流会被随机分配一个IP，但对于同一个流使用的是同一个IP
• 在指定 -p tcp 或 -p udp 的前提下，可以指定源端口的范围
  • 194.236.50.155:1024-32000 ：包的源端口就被限制在 1024-32000

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

注意：

• 如果可能，iptables总是想 避免任何的端口变更 ，换句话说，它总是尽力使用建立连接时所用的 端口。但是如果两台机子使用相同的源端口，iptables 将会把他们的其中之一映射到另外的一个端口。如果没有指定端口范围：
  • 所有的在512以内的源端口会被映射到512以内的另一个端口
  • 512和1023之间的将会被映射到 1024内
  • 其他的将会被映射到大于或对于1024的端口，也就是说是同范围映射
  • 这种映射和目的端口无关。因此，如果客户想和防火墙外的HTTP服务器联系，它是不会被映射到FTP control所用的端口的

--set-tos

设置TOS的值，值的形式可以是名字或者使相应的数值（十进制或16进制的）。一般情况下，建议使用名字而不使用数值形式，因为以后这些数值可能会有所改变， 而名字一般是固定的。TOS字段有8个二进制位，所以可能的值是0-255（十进制）或0x00-0xFF（16进制）：

• Minimize-Delay 16 (0x10)：要求找一条路径使延时最小，一些标准服务如telnet、SSH、FTP- control 就需要这个选项
• Maximize-Throughput 8 (0x08)：要求找一条路径能使吞吐量最大，标准服务FTP-data能用到这个
• Maximize-Reliability 4 (0x04)：要求找一条路径能使可靠性最高，使用它的有BOOTP和TFTP
• Minimize-Cost 2 (0x02)：要求找一条路径能使费用最低，一般情况下使用这个选项的是一些视频音频流协议，如RTSP
• Normal-Service 0 (0x00)：一般服务，没有什么特殊要求。这个值也是大部分包的缺省值

iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10

--ttl-set

设置TTL的值

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

这个值不要太大，也不要太小，大约64就很好。值越大，占用的带宽越多，这个target就可以被用来限制包能走多远，一个比较恰当的距离是刚好能到达DNS服务器

    值太大会影响网络，而且有点不道德，为什么这样说呢？
    
    如果有些路由器的配置不太正确，包的TTL又非常大，那它们就会在这些路由器之间往返很多次

--ttl-dec

设定TTL要被减掉的值

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 3

假设一个进来的包的TTL是 53 ，那么当它离开我们这台机子时，TTL就变为 49 了。因为经过我们这台机子，TTL本身就要减1，还要被TTL target再减3，当然总共就是减去4了

    可以限制使用我们的服务的用户*离我们有多远
    
    比如，用户总是使用比较近的DNS，那我们就可以对我们的DNS服务器发出的包进行几个--ttl-dec
    
    当然用--set-ttl控制更方便些

--ttl-inc

设定TTL要被增加的值

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 3

假设一个进来的包的TTL是53，那么当它离开我们这台机子时，TTL应是多少呢？答案是56。

使用这个选项可以使我们的防火墙更加隐蔽，而不被trace-routes发现， 方法就是设置--ttl-inc 1

原因应该很简单了，包每经过一个设备，TTL就要自动减1，但在我们的防火墙里这个1又被补上了

也就是说，TTL的值没变，那么trace-routes就会认为我们的防火墙是不存在的

Trace-routes让人又爱又恨：
  爱它是因为在连接出问题时，它可以给我们提供极有用的信息，告诉我们哪里有毛病
  恨它是由于它也可以被黑客或骇客用来收集目标机器的资料

--ulog-nlgroup

指定向哪个netlink组发送包

iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-nlgroup 2

一个有32个netlink组，它们被简单地编号位1-32。默认值是1

--ulog-prefix

指定记录信息的前缀，以便于区分不同的信息。使用方法和LOG的prefix一样，只是长度可以达到32个字符

iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-prefix "SSH connection attempt: "

--ulog-cprange

指定每个包要向 ULOG在用户空间的代理 发送的字节数：

• –ulog-cprange 100 ： 把整个包的前100个字节拷贝到用户空间记录下来，其中包含了这个包头，还有一些包的引导数据。默认值是0，表示拷贝整个包，不管它有多大

iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-cprange 100

--ulog-qthreshold

告诉ULOG在向用户空间发送数据以供记录之前，要在内核里收集的包的数量：

• –ulog-qthreshold 10 ：表示先在内核里积聚10个包，再把它们发送到用户空间里，它们会被看作同一个netlink的信息，只是由好几部分组成罢了。默认值是1，这是为了向后兼容，因为以前的版本不能处理分段的信息

iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-qthreshold 10

Next：配置

Previous：规则的保存和恢复

目录