扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
--new -N 产生一个新的使用者定义规则(user-defined)。
--delete-chain -X 删除使用者定义的规则,如果没有指定任何的参数,它将会所有的定义的规则。
--policy -P 设定目标的政策,只有 input,forward,output 可以去设定。
--masquerade -M 这个选项可以去查看现在的伪装连接状况(须加上-L 选项),或是去设定 kernel 伪装参数(-S选项)。
--set -S 设定伪装停止时间变数
--help -h 列出描述命令语法的说明。
4.3 ipchains参数选项
可以有两种形式来指定,全名方式或缩写方式来表示
使用’!’去定义相反的意义:惊叹号’!’有’not’的意义,有许多选项可以加上’!’去使用,表示不是的意思。
例如: -s ! localhost
说明: 表示除了localhost的来源位址都可以。
--proto -p [!] protocol 协定:可以用数字或名字,例如:tcp、icmp、udp及all。
范例:
ipchains -A input -p tcp -s 192.168.1.3 -d eef.oit.edu.tw ftp -j DENY
说明:源地址为 192.168.1.3 的主机不能对 eef.oit.edu.tw 这台主机做 ftp 的动作请求。
--source -s [!] 指定来源位址。
--source-port [!] port 指定来源的port。
--destination -d [!] 指定目的地位址
--destination-port [!] 指定目的地的port
--icmp-type [!] 类型名称,指定ICMP类型
--interface -i [!] 网络接口名称 ,lo、eth0、eth1。
--jump -j 指定规则的目标,如果没有指定的话,这条规则算是没有用处。
--numeric -n 取消DNS查询,直接使用IP
--log -l 将关于ipchains的讯息记录起来,记录于/var/log/messages内。
--verbose -v 完整模式,会列出界面名称、规则、TOS伪装,封包和位元组计数也会列出,须和-L一起使用。
[!] --syn -y 只有当SYN设定时才会符合TCP封包
--TOS -t Type Of Service
[!] --version -V 列出ipchains的版本
--bidirectional -b 双向模式
5. 封包过滤防火墙ipchains的操作规则
5.1 ipchains规则
首先列出 ipchains 的规则表出来:
ipchains -L
分为三大部分:
input chains:输入时的过滤规则例如:
ipchains -A input -p tcp -s 192.168.1.3 -d 192.192.69.36 www -j DENY
禁止 192.168.1.3 的来源位址去存取目的地 192.192.69.36 的网页
forward chain :执行 IP 伪装的规则例如:
ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/24 -j MASQ
启动 192.168.1.0~255 的 IP 伪装
output chain:输出时的过滤规则(与 input 相反)例如:
ipchains -A output -p tcp -s 192.192.69.36 www -d 192.168.1.3 -j DENY
功用与 input 相同,只不过来源地址、目的地位址要对换
每个所设的规则必须要去符合情况,以及要做些什么(目标)。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者