iptables规则中的匹配和目标
每个匹配都在iptables的命令行中指定。例如:
--source (-s) --匹配源IP地址或网络
--destination (-d) --匹配目标IP地址或网络
--protocol (-p) --匹配IP 协议
--in-interface (-i) --流入接口(例如eth0)
--out-interface (-o) --流出接口
--state --匹配一组连接状态
--string --匹配应用层数据字节序列
--comment --在内核内存中为一个规则关联多达256个字节的注释数据
目标
最后,iptables支持一组目标,它们用于在数据包匹配一条规则时触发一个动作。例如如下重要的目标:
ACCEPT --允许数据包通过;
DROP --丢弃数据包,不对该数据包做进一步的处理,对接收栈而言,就了像该数据包从来没有被接收一样;
LOG --将数据包信息记录到syslog;
REJECT --丢弃数据包,同时发送适当的响应报文(例如,针对TCP连接的TCP重置数据包或针对UDP数据包的ICMP端口不可达消息)
RETURN --在调用链中继续处理数据包。
uddtm 2009-08-30
« 上一篇:
iptables中的表和链 ¦ 下一篇:
源码自动安装rrdtool-1.2.12脚本 »
网站地图
