国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

6、 -X或者--delete-chain  //用來刪除用戶自定義鏈中規(guī)則。必須保證鏈中的規(guī)則都不在使用時(shí)才能刪除鏈。如沒有指定鏈，將刪除所有自定義鏈中的規(guī)則。7、 -F或者--flush        //清空所選鏈中的所有規(guī)則。如指定鏈名，則刪除對(duì)應(yīng)鏈的所有規(guī)則。如沒有指定鏈名，則刪除所有鏈的所有規(guī)則。8、 -N或者--new-chain      //用命令中所指定的名字創(chuàng)建一個(gè)新鏈。9、 -P或者--policy        //設(shè)置鏈的默認(rèn)目標(biāo)，即策略。 與鏈中任何規(guī)則都不匹配的信息包將強(qiáng)制使用此命令中指定的策略。10、-Z或者--zero        //將指定鏈中的所有規(guī)則的包字節(jié)計(jì)數(shù)器清零。（三） match 匹配分為四大類：通用匹配、隱含匹配、顯示匹配、針對(duì)非正常包的匹配1、通用匹配無論我們使用何種協(xié)議，裝入何種擴(kuò)展，通用匹配都可以使用。不需要前提條件（1） -p(小寫）或--protocol用來檢查某些特定協(xié)議。協(xié)議有TCP\UDP\ICMP三種?？捎枚禾?hào)分開這三種協(xié)議的任何組合。也可用“！”號(hào)進(jìn)行取反，表示除該協(xié)議外的剩下的協(xié)議。也可用all表示全部協(xié)議。默認(rèn)是all，但只代表tcp\udp\icmp三種協(xié)議。$ iptable -A INPUT -p TCP,UDP$ iptable -A INPUT -p ! ICMP     //這兩種表示的意思為一樣的。(2) -s 或 --source以Ip源地址匹配包。根據(jù)源地址范圍確定是否允許或拒絕數(shù)據(jù)包通過過濾器?？墒褂?“！”符號(hào)。    默認(rèn)是匹配所有ip地址。可是單個(gè)Ip地址，也可以指定一個(gè)網(wǎng)段。  如： 192.168.1.1/255.255.255.255  表示一個(gè)地址。  192.168.1.0/255.255.255.0  表示一個(gè)網(wǎng)段。（3） -d  或 --destination用目的Ip地址來與它們匹配。與  source 的格式用法一樣（4）  -i以包進(jìn)入本地所使用的網(wǎng)絡(luò)接口來匹配包。只能用INPUT \ FORWARD \PREROUTING 三個(gè)鏈中。用在其他任何鏈中都會(huì)出錯(cuò)。可使用“+”  “！”兩種符號(hào)。只用一個(gè)“+"號(hào)，表示匹配所有的包，不考慮使用哪個(gè)接口。如： iptable -A INPUT  -i +  //表匹配所有的包。放在某類接口后面，表示所有此類接口相匹配。如：    iptable  -A INPUT -i eth+   //表示匹配所有ethernet 接口。（5）  -o以數(shù)據(jù)包出本地所使用的網(wǎng)絡(luò)接口來匹配包。與-i一樣的使用方法。只能用OUTPUT \ FORWARD \POSTROUTING 三個(gè)鏈中。用在其他任何鏈中都會(huì)出錯(cuò)。可使用“+”  “！”兩種符號(hào)。（6）  -f  (或  --fragment )用來匹配一個(gè)被分片的包的第二片或以后的部分。因一個(gè)數(shù)據(jù)包被分成多片以后，只有第一片帶有源或目標(biāo)地址。后面的都不帶 ，所以只能用這個(gè)來匹配。可防止碎片攻擊。2、隱含匹配這種匹配是隱含的，自動(dòng)的載入內(nèi)核的。如我們使用 --protocol tcp  就可以自動(dòng)匹配TCP包相關(guān)的特點(diǎn)。分三種不同協(xié)議的隱含匹配:tcp   udp  icmp2.1   tcp matchtcp match 只能隱含匹配TCP包或流的細(xì)節(jié)。但必須有  -p tcp 作為前提條件。（2.1.1）  TCP --sport基于tcp包的源端口匹配包  ，不指定此項(xiàng)則表示所有端口。iptable -A INPUT -p  TCP  --sport   22:80    //TCP源端口號(hào)22到80之間的所有端口。iptable -A INPUT -p  TCP  --sport   22:      //TCP源端口號(hào)22到65535之間的所有端口。（2.1.2）  TCP --dport基于tcp包的目的端口來匹配包。   與--sport端口用法一樣。（2.1.3）  TCP --flags匹配指定的TCP標(biāo)記。iptable  -p  TCP --tcp-flags  SYN,FIN,ACK   SYN2.2   UDP match（2.1.1）  UDP --sport基于UDP包的源端口匹配包  ，不指定此項(xiàng)則表示所有端口。（2.1.1）  UDP --dport基于UDP包的目的端口匹配包  ，不指定此項(xiàng)則表示所有端口。2.3   icmp matchicmp --icmp-type根據(jù)ICMP類型包匹配。類型 的指定可以使用十進(jìn)制數(shù)或相關(guān)的名字，不同的類型，有不同的ICMP數(shù)值表示。也可以用“！”取反。例：      iptable  -A INPUT  -p icmp-imcp-type 83、顯示匹配顯示匹配必須用  -m裝 載。（1）limit match必須用 -m limit 明確指出。  可以對(duì)指定的規(guī)則的匹配次數(shù)加以限制。即，當(dāng)某條規(guī)則匹配到一定次數(shù)后，就不再匹配。也就是限制可匹配包的數(shù)量。這樣可以防止DOS攻擊。限制方法： 設(shè)定對(duì)某條規(guī)則 的匹配最大次數(shù)。設(shè)一個(gè)限定值 。 當(dāng)?shù)竭_(dá)限定值以后，就停止匹配。但有個(gè)規(guī)定，在超過限制次數(shù)后，仍會(huì)每隔一段時(shí)間再增加一次匹配次數(shù)。但增加的空閑匹配數(shù)最大數(shù)量不超過最大限制次數(shù)。--limit rate最大平均匹配速率：可賦的值有'/second', '/minute', '/hour', or '/day'這樣的單位，默認(rèn)是3/hour。--limit-burst number待匹配包初始個(gè)數(shù)的最大值:若前面指定的極限還沒達(dá)到這個(gè)數(shù)值,則概數(shù)字加1.默認(rèn)值為5iptable -A INPUT -m limit --limt 3/hour    //設(shè)置最大平均匹配速率。也就是單位時(shí)間內(nèi)，可匹配的數(shù)據(jù)包個(gè)數(shù)。   --limt 是指定隔多 長(zhǎng)時(shí)間發(fā)一次通行證。iptable -A INPUT  -m limit --limit-burst 5  //設(shè)定剛開始發(fā)放5個(gè)通行證，也最多只可匹配5個(gè)數(shù)據(jù)包。（2） mac match只能匹配MAC源地址?；诎腗AC源地址匹配包iptable -A  INPUT -m mac  --mac-source   00:00:eb:1c:24     //源地址匹配些MAC地址(3)  mark match以數(shù)據(jù)包被 設(shè)置的MARK來匹配包。這個(gè)值由  MARK TARGET 來設(shè)置的。（4）  multiport match這個(gè)模塊匹配一組源端口或目標(biāo)端口,最多可以指定15個(gè)端口。只能和-p tcp 或者 -p udp 連著使用。多端口匹配擴(kuò)展讓我們能夠在一條規(guī)則里指定不連續(xù)的多個(gè)端口。如果沒有這個(gè)擴(kuò)展，我們只能按端口來寫規(guī)則了。這只是標(biāo)準(zhǔn)端口匹配的增強(qiáng)版。不能在一條規(guī)則里同時(shí)用標(biāo)準(zhǔn)端口匹配和多端口匹配。三個(gè)選項(xiàng)：   --source-port   ;  --destination-port  ;   --portiptable  -A INPUT  -p TCP   -m  multiport  --source-port 22,28,115iptable  -A INPUT  -p TCP   -m  multiport  --destination-port 22,28,115iptable  -A INPUT  -p TCP   -m  multiport  --port 22,28,115(5) state match狀態(tài)匹配擴(kuò)展要有內(nèi)核里的連接跟蹤代碼的協(xié)助。因?yàn)槭菑倪B接跟蹤機(jī)制得到包的狀態(tài)。這樣不可以了解所處的狀態(tài)。（6)  tos match根據(jù)TOS字段匹配包，用來控制優(yōu)先級(jí)。(7)   ttl match根據(jù)IP頭里的TTL字段來匹配包。用來更改包的TTL，有些ISP根據(jù)TTL來判斷是不是有多臺(tái)機(jī)器共享連接上網(wǎng)。iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 1# 離開防火墻的時(shí)候?qū)嶋H上TTL已經(jīng)-2了，因?yàn)榉阑饓Ρ旧硪?1一次。iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1# 離開防火墻的時(shí)候不增不減，tracert就不好用了，呵呵。（8） owner match基于包的生成者（即所有者或擁有者）的ID來匹配包。owner 可以是啟動(dòng)進(jìn)程的用戶的ID，或用戶所在的級(jí)的ID或進(jìn)程的ID，或會(huì)話的ID。此只能用在OUTPUT 中。此模塊設(shè)為本地生成包匹配包創(chuàng)建者的不同特征。而且即使這樣一些包（如ICMP ping應(yīng)答）還可能沒有所有者，因此永遠(yuǎn)不會(huì)匹配。--uid-owner userid如果給出有效的user id，那么匹配它的進(jìn)程產(chǎn)生的包。--gid-owner groupid如果給出有效的group id，那么匹配它的進(jìn)程產(chǎn)生的包。--sid-owner seessionid根據(jù)給出的會(huì)話組匹配該進(jìn)程產(chǎn)生的包。（ 四） targets/jump指由規(guī)則指定的操作，對(duì)與規(guī)則匹配的信息包執(zhí)行什么動(dòng)作。1、accept這個(gè)參數(shù)沒有任何選項(xiàng)。指定  -j accept 即可。一旦滿 足匹配不再去匹配表或鏈內(nèi)定義的其他規(guī)則。但它還可能會(huì)匹配其他表和鏈內(nèi)的規(guī)則。即在同一個(gè)表內(nèi)匹配后就到上為止，不往下繼續(xù)。2、drop-j drop   當(dāng)信息包與規(guī)則完全匹配時(shí)，將丟棄該 包。不對(duì)它做處理。并且不向發(fā)送者返回任何信息。也不向路由器返回信息。3、reject與drop相同的工作方式，不同的是，丟棄包后，會(huì)發(fā)送錯(cuò)誤信息給發(fā)送方。iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with icmp-net-unreachable4、DNAT用在prerouting鏈上。做目的網(wǎng)絡(luò)地址轉(zhuǎn)換的。就是重寫目的的IP地址。如果一個(gè)包被匹配，那么和它屬于同一個(gè)流的所有的包都會(huì)被自動(dòng)轉(zhuǎn)換。然后可以被路由到正確的主機(jī)和網(wǎng)絡(luò)。也就是如同防火墻的外部地址映射。把外部地址映射到內(nèi)部地址上。iptables -t nat   -A PREROUTING   -d 218.104.235.238 -p TCP  --dport 110,125    -j DNAT --to-destination  192.168.9.1//把所有訪問218.104.235.238地址  110.125端口的包全部轉(zhuǎn)發(fā)到 192.168.9.1上。--to-destination   //目的地重寫5、SNAT用在nat 表的postrouting鏈表。這個(gè)和DNAT相反。是做源地址轉(zhuǎn)換。就是重寫源地址IP。 常用在內(nèi)部網(wǎng)到外部網(wǎng)的轉(zhuǎn)換。--to-sourceiptables -t nat POSTROUTING  -o eth0 -p tcp  -j SNAT --to-source 218.107.248.127  //從eth0接口往外發(fā)的數(shù)據(jù)包都把源地址重寫為218.107.248.127********************iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9# 將所有的訪問15.45.23.67:80端口的數(shù)據(jù)做DNAT發(fā)到192.168.1.9:80如果和192.168.1.9在同一內(nèi)網(wǎng)的機(jī)器要訪問15.45.23.67，防火墻還需要做設(shè)置，改變?cè)碔P為防火墻內(nèi)網(wǎng)IP 192.168.1.1。否則數(shù)據(jù)包直接發(fā)給內(nèi)網(wǎng)機(jī)器，對(duì)方將丟棄。iptables -t nat -A POSTROUTING -p tcp --dst 15.45.23.67 --dport 80 -j SNAT --to-source 192.168.1.1# 將所有的訪問15.45.23.67:80端口的數(shù)據(jù)包源IP改為192.168.1.1如果防火墻也需要訪問15.45.23.67:80，則需要在OUTPUT鏈中添加，因?yàn)榉阑饓ψ约喊l(fā)出的包不經(jīng)過PREROUTING。iptables -t nat -A OUTPUT --dst 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9********************6、MASQUERADEmasquerade 的作用和 SNAT的作用是一樣的。 區(qū)別是，他不需要指定固定的轉(zhuǎn)換后的IP地址。專門用來設(shè)計(jì)動(dòng)態(tài)獲取IP地址的連接的。MASQUERADE的作用是，從服務(wù)器的網(wǎng)卡上，自動(dòng)獲取當(dāng)前ip地址來做NAT如家里的ADSL上網(wǎng)，外網(wǎng)的IP地址不是固定的，你無法固定的設(shè)定NAT轉(zhuǎn)換后的IP地址。這時(shí)就需要用masquerade來動(dòng)態(tài)獲取了。iptables -t nat -A POSTROUTING  -s 192.168.1.0/24 -j masquerade      //即把192.168.1.0 這個(gè)網(wǎng)段的地址都重寫為動(dòng)態(tài)的外部IP地址。7、REDIRECT只能在NAT表中的PREROUTING  OUTPUT 鏈中使用在防火墻所在的機(jī)子內(nèi)部轉(zhuǎn)發(fā)包或流到另一個(gè)端口。比如，我們可以把所有去往端口HTTP的包REDIRECT到HTTP proxy（例如squid），當(dāng)然這都發(fā)生在我們自己的主機(jī)內(nèi)部。--to-portsiptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080不使用這個(gè)選項(xiàng)，目的端口不會(huì)被改變。指定一個(gè)端口，如--to-ports 8080指定端口范圍，如--to-ports 8080-80908、RETURN顧名思義，它使包返回上一層，順序是：子鏈——>父鏈——>缺省的策略。具體地說，就是若包在子鏈中遇到了RETURN，則返回父鏈的下一條規(guī)則繼續(xù)進(jìn)行條件的比較，若是在父鏈（或稱主鏈，比如INPUT）中遇到了RETURN，就要被缺省的策略（一般是ACCEPT或DROP）操作了。（譯者注：這很象C語言中函數(shù)返回值的情況）9、MIRROR顛倒IP頭中的源地址與目的地址，再轉(zhuǎn)發(fā)。10、LOG在內(nèi)核空間記錄日志，dmesg等才能看。11、ULOG在用戶空間記錄日志。（五）IP轉(zhuǎn)發(fā)功能打開轉(zhuǎn)發(fā)IP功能（IP forwarding）：echo "1" > /proc/sys/net/ipv4/ip_forward如果使用PPP、DHCP等動(dòng)態(tài)IP，需要打開：echo "1" > /proc/sys/net/ipv4/ip_dynaddr