Linux下通过iptables软件配置限制ip访问(2)

说明插入一条规则，原本该位置上的规则将会往后移动一个顺位。

命令 -L, --list

范例 iptables -L INPUT

说明列出某规则链中的所有规则。

命令 -F, --flush

范例 iptables -F INPUT

说明删除某规则链中的所有规则。

命令 -Z, --zero

范例 iptables -Z INPUT

说明将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。

命令 -N, --new-chain

范例 iptables -N allowed

说明定义新的规则链。

命令 -X, --delete-chain

范例 iptables -X allowed

说明删除某个规则链。

命令 -P, --policy

范例 iptables -P INPUT DROP

说明定义过滤政策。也就是未符合过滤条件之封包，预设的处理方式。

命令 -E, --rename-chain

范例 iptables -E allowed disallowed

说明修改某自订规则链的名称。

常用封包比对参数：

参数 -p, --protocol

范例 iptables -A INPUT -p tcp

说明比对通讯协议类型是否相符，可以使用 ! 运算子进行反向比对，例如：-p ! tcp ，意思是指除 tcp 以外的其它类型，包含

udp、icmp ...等。如果要比对所有类型，则可以使用 all 关键词，例如：-p all。

参数 -s, --src, --source

范例 iptables -A INPUT -s 192.168.1.1

说明用来比对封包的来源 IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s 192.168.0.0/24，比对 IP 时

可以使用 ! 运算子进行反向比对，例如：-s ! 192.168.0.0/24。

参数 -d, --dst, --destination

范例 iptables -A INPUT -d 192.168.1.1

说明用来比对封包的目的地 IP，设定方式同上.

参数 -m multiport --port

范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110

说明这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80

目的地埠号为 110，这种封包并不算符合条件。

参数 --icmp-type

范例 iptables -A INPUT -p icmp --icmp-type 8

说明用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可

用。

参数 -m limit --limit

范例 iptables -A INPUT -m limit --limit 3/hour

说明用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。除了每小时平均

次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。除了进行封

IXDBA.NET技术社区

数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水攻击法，导致服务被阻断。

参数 --limit-burst

范例 iptables -A INPUT -m limit --limit-burst 5

说明用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封

将被直接丢弃。使用效果同上。

参数 -m mac --mac-source

范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

说明用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting 规则炼上，这是因为封包要送出到网

后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到

个网络接口去。

参数 --mark

范例 iptables -t mangle -A INPUT -m mark --mark 1

说明用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最

不可以超过 4294967296。

参数 -m owner --uid-owner

范例 iptables -A OUTPUT -m owner --uid-owner 500

说明用来比对来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出