iptables常用命令(2

　　摘要：初次学习iptables，就得学会几大点：iptables安装、iptables配置、iptables命令。提到命令，新手们就会头大，本文为大家整理出来一些比较有用的iptables命令供大家参考！

　　常用封包比对参数：

　　说明比对通讯协议类型是否相符，可以使用!运算子进行反向比对，例如：-p!tcp，意思是指除tcp以外的其它类型，包含udp、icmp...等。如果要比对所有类型，则可以使用all关键词，例如：-pall。

　　说明用来比对封包的来源IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s192.168.0.0/24，比对IP时也可以使用!运算子进行反向比对，例如：-s!192.168.0.0/24。

　　说明用来比对封包的目的地IP，设定方式同上。

　　说明用来比对封包是从哪片网卡进入，可以使用通配字符+来做大范围比对，例如：-ieth+表示所有的ethernet网卡，也可以使用!运算子进行反向比对，例如：-i!eth0。

　　说明用来比对封包要从哪片网卡送出，设定方式同上。

　　说明用来比对封包的来源埠号，可以比对单一埠，或是一个范围，例如：--sport22:80，表示从22到80

　　埠之间都算是符合条件，如果要比对不连续的多个埠，则必须使用--multiport参数，详见后文。比对埠号时，可以使用!

　　运算子进行反向比对。

　　说明用来比对封包的目的地埠号，设定方式同上。

　　封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设定，未被列举的旗号必须是空的。TCP

　　等均可使用于参数中，除此之外还可以使用关键词ALL和NONE进行比对。比对旗号时，可以使用!运算子进行反向比对。

　　说明用来比对不连续的多个来源埠号，一次最多可以比对15个埠，可以使用!运算子进行反向比对。

　　说明用来比对不连续的多个目的地埠号，设定方式同上。

　　说明这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为80但目的地埠号为110，这种封包并不算符合条件。

　　说明用来比对ICMP的类型编号，可以使用代码或数字编号来进行比对。请打iptables-picmp--help来查看有哪些代码可以用。

　　说明用来比对某段时间内封包的平均流量，的例子是用来比对：每小时平均流量是否超过一次3个封包。

　　除了每小时平均一次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后：/second、/minute、/day。

　　除了进行封包数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水法，导致服务被阻断。

　　说明用来比对瞬间大量封包的数量，的例子是用来比对一次同时涌入的封包是否超过5个(这是默认值)，超过此上限的封包将被直接丢弃。使用效果同上。

　　上不了192.168.1.1说明用来比对封包来源网络接口的硬件地址，这个参数不能用在OUTPUT和Postrouting

　　规则炼上，这是因为封包要送出到网卡后，才能由网卡驱动程序透过ARP通讯协议查出目的地的MAC地址，所以iptables

　　在进行封包比对时，并不知道封包会送到哪个网络接口去。

　　通过文章的描述，一定对新手们有很大的帮助！希望你们喜欢！

　　【编辑推荐】