仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 840|回复: 11
打印 上一主题 下一主题

[其他Linux] 给大家带来Linux命令Iptables利用先容

[复制链接]
逍遥一派 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 12:19:39 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
系统做了些什么,这需要时间去掌握,(背命令不是一件好的学习方法,相信我你一定会在你背完之前全部忘光),尽量掌握常用命令;
用iptables-ADC来指定链的划定规矩,-A增加-D删除-C修正
  iptables-[RI]chainrulenumrule-specification[option]
  用iptables-RI经由过程划定规矩的按次指定
  iptables-Dchainrulenum[option]
  删除指定例则
  iptables-[LFZ][chain][option]
  用iptables-LFZ链名[选项]
  iptables-[NX]chain
  用-NX指定链
  iptables-Pchaintarget[options]
  指定链的默许方针
  iptables-Eold-chain-namenew-chain-name
  -E旧的链名新的链名
  用新的链名代替旧的链名
  申明
  Iptalbes是用来设置、保护和反省Linux内核的IP包过滤划定规矩的。
  能够界说分歧的表,每一个表都包括几个外部的链,也能包括用户界说的链。每一个链都是一个划定规矩列表,对对应的包举行婚配:每条划定规矩指定应该怎样处置与之相婚配的包。这被称作target(方针),也能够跳向统一个表内的用户界说的链。
  TARGETS
  防火墙的划定规矩指定所反省包的特性,和方针。假如包不婚配,将送往该链中下一条划定规矩反省;假如婚配,那末下一条划定规矩由方针值断定.该方针值能够是用户界说的链名,或是某个公用值,如ACCEPT[经由过程],DROP[删除],QUEUE[列队],大概RETURN[前往]。
  ACCEPT暗示让这个包经由过程。DROP暗示将这个包抛弃。QUEUE暗示把这个包传送到用户空间。RETURN暗示中断这条链的婚配,到前一个链的划定规矩从头入手下手。假如抵达了一个内建的链(的末了),大概碰到内建链的划定规矩是RETURN,包的运气将由链原则指定的方针决意。
  TABLES
  以后有三个表(哪一个表是以后表取决于内核设置选项和以后模块)。
  -ttable
  这个选项指天命令要操纵的婚配包的表。假如内核被设置为主动加载模块,这时候若模块没有加载,(体系)将实验(为该表)加载合适的模块。这些表以下:filter,这是默许的表,包括了内建的链INPUT(处置进进的包)、FORWORD(处置经由过程的包)和OUTPUT(处置当地天生的包)。nat,这个表被查询时暗示碰到了发生新的毗连的包,由三个内建的链组成:PREROUTING(修正到来的包)、OUTPUT(修正路由之前当地的包)、POSTROUTING(修正筹办进来的包)。mangle这个表用来对指定的包举行修正。它有两个内建划定规矩:PREROUTING(修正路由之行进进的包)和OUTPUT(修正路由之前当地的包)。
  OPTIONS
  这些可被iptables辨认的选项能够辨别分歧的品种。
  COMMANDS
  这些选项指定实行明白的举措:若指令行下没有其他划定,该行只能指定一个选项.关于长格局的命令和选项名,所用字母长度只需包管iptables能从其他选项中辨别出该指令就好了。
  -A-append
  在所选择的链末增加一条或更多划定规矩。当源(地点)大概/与目标(地点)转换为多个地点时,这条划定规矩会加到一切大概的地点(组合)前面。
  -D-delete
  从所选链中删除一条或更多划定规矩。这条命令能够有两种办法:能够把被删除划定规矩指定为链中的序号(第一条序号为1),大概指定为要婚配的划定规矩。
  -R-replace
  从选中的链中代替一条划定规矩。假如源(地点)大概/与目标(地点)被转换为多地点,该命令会失利。划定规矩序号从1入手下手。
  -I-insert
  依据给出的划定规矩序号向所选链中拔出一条或更多划定规矩。以是,假如划定规矩序号为1,划定规矩会被拔出链的头部。这也是不指定例则序号时的默许体例。
  -L-list
  显现所选链的一切划定规矩。假如没有选择链,一切链将被显现。也能够和z选项一同利用,这时候链会被主动列出和回零。准确输入受别的所给参数影响。
  -F-flush
  清空所选链。这即是把一切划定规矩一个个的删除。
  --Z-zero
  把一切链的包及字节的计数器清空。它能够和-L共同利用,在清绝后观察计数器,请拜见前文。
  -N-new-chain
  依据给出的称号创建一个新的用户界说链。这必需包管没有同名的链存在。
  -X-delete-chain
  删除指定的用户自界说链。这个链必需没有被援用,假如被援用,在删除之前你必需删除大概交换与之有关的划定规矩。假如没有给出参数,这条命令将试着删除每一个非内建的链。
  -P-policy
  设置链的方针划定规矩。
  -E-rename-chain
  依据用户给出的名字对指定链举行重定名,这仅仅是润色,对全部表的布局没有影响。TARGETS参数给出一个正当的方针。只要非用户自界说链可使用划定规矩,并且内建链和用户自界说链都不克不及是划定规矩的方针。
  -hHelp.
  匡助。给出以后命令语法十分冗长的申明。
  PARAMETERS
  参数
  以下参数组成划定规矩胪陈,如用于add、delete、replace、append和check命令。
  -p-protocal[!]protocol
  划定规矩大概包反省(待反省包)的协定。指定协定能够是tcp、udp、icmp中的一个大概全体,也能够是数值,代表这些协定中的某一个。固然也能够利用在/etc/protocols中界说的协定名。在协定名前加上"!"暗示相反的划定规矩。数字0相称于一切all。Protocolall会婚配一切协定,并且这是缺省时的选项。在和check命令分离时,all能够不被利用。
  -s-source[!]address[/mask]
  指定源地点,能够是主机名、收集名和分明的IP地点。mask申明能够是收集掩码或分明的数字,在收集掩码的右边指定收集掩码右边"1"的个数,因而
1234下一页


如果你学不好的话,你在linux中开发的机会就很少,或者说几乎没有,它的优势就消失了,然后随着时间的流逝,你就会全部忘记她;
逍遥一派 该用户已被删除
沙发
 楼主| 发表于 2015-1-16 12:30:31 | 只看该作者

给大家带来Linux命令Iptables利用先容

给你装的系统里为ubuntu12.04,它已经封装的很臃肿了,但是考虑到你没有很多时间投入其中,所以给你装了它,但是怎么用它提高开发效率,需要你在学习的过程中不断总结;
,mask值为24即是255.255.255.0。在指定地点前加上"!"申明指定了相反的地点段。标记--src是这个选项的简写。</P>  -d--destination[!]address[/mask]
  指定方针地点,要猎取具体申明请拜见-s标记的申明。标记--dst是这个选项的简写。
  -j--jumptarget
  -j方针跳转
  指定例则的方针;也就是说,假如包婚配应该做甚么。方针能够是用户自界说链(不是这条划定规矩地点的),某个会当即决意包的运气的公用内建方针,大概一个扩大(拜见上面的EXTENSIONS)。假如划定规矩的这个选项被疏忽,那末婚配的历程不会对包发生影响,不外划定规矩的计数器会增添。
  -i-in-interface[!][name]
  i-进进的(收集)接口[!][称号]
  这是包经过该接口吸收的可选的出口称号,包经由过程该接口吸收(在链INPUT、FORWORD和PREROUTING中进进的包)。当在接口名前利用"!"申明后,指的是相反的称号。假如接口名前面加上"+",则一切以此接口名开首的接口城市被婚配。假如这个选项被疏忽,会假定为"+",那末将婚配恣意接口。
  -o--out-interface[!][name]
  -o--输入接口[称号]
  这是包经过该接口送出的可选的出口称号,包经由过程该口输入(在链FORWARD、OUTPUT和POSTROUTING中送出的包)。当在接口名前利用"!"申明后,指的是相反的称号。假如接口名前面加上"+",则一切以此接口名开首的接口城市被婚配。假如这个选项被疏忽,会假定为"+",那末将婚配一切恣意接口。
  [!]-f,--fragment
  [!]-f--分片
  这意味着在分片的包中,划定规矩只扣问第二及今后的片。自那今后因为没法判别这类把包的源端口或方针端口(大概是ICMP范例的),这类包将不克不及婚配任何指定对他们举行婚配的划定规矩。假如"!"申明用在了"-f"标记之前,暗示相反的意义。
  OTHEROPTIONS
  其他选项
  还能够指定以下附加选项:
  -v--verbose
  -v--具体
  具体输入。这个选项让list命令显现接口地点、划定规矩选项(假如有)和TOS(TypeofService)掩码。包和字节计数器也将被显现,分离用K、M、G(前缀)暗示1000、1,000,000和1,000,000,000倍(不外请参看-x标记改动它),关于增加,拔出,删除和交换命令,这会使一个或多个划定规矩的相干具体信息被打印。
  -n--numeric
  -n--数字
  数字输入。IP地点和端口会以数字的情势打印。默许情形下,程序试显现主机名、收集名大概服务(只需可用)。
  -x-exact
  -x-准确
  扩大数字。显现包和字节计数器的准确值,取代用K,M,G暗示的约数。这个选项仅能用于-L命令。
  --line-numbers
  当列表显现划定规矩时,在每一个划定规矩的后面加下行号,与该划定规矩在链中的地位绝对应。
  MATCHEXTENSIONS
  对应的扩大
  iptables可以利用一些与模块婚配的扩大包。以下就是含于基础包内的扩大包,并且他们年夜多半都能够经由过程在后面加上!来暗示相反的意义。
  tcp
  当--protocoltcp被指定,且其他婚配的扩大未被指准时,这些扩大被装载。它供应以下选项:
  --source-port[!][port[:port]]
  源端口或端口局限指定。这能够是服务名或端标语。利用格局端口:端口也能够指定包括的(端口)局限。假如首端标语被疏忽,默许是"0",假如末了标语被疏忽,默许是"65535",假如第二个端标语年夜于第一个,那末它们会被互换。这个选项可使用--sport的别号。
  --destionation-port[!][port:[port]]
  方针端口或端口局限指定。这个选项可使用--dport别号来取代。
  --tcp-flags[!]maskcomp
  婚配指定的TCP标志。第一个参数是我们要反省的标志,一个用逗号分隔的列表,第二个参数是用逗号分隔的标志表,是必需被设置的。标志以下:SYNACKFINRSTURGPSHALLNONE。因而这条命令:iptables-AFORWARD-ptcp--tcp-flagsSYN,ACK,FIN,RSTSYN只婚配那些SYN标志被设置而ACK、FIN和RST标志没有设置的包。
  [!]--syn
  只婚配那些设置了SYN位而扫除了ACK和FIN位的TCP包。这些包用于TCP毗连初始化时收回哀求;比方,大批的这类包进进一个接口产生梗塞时会制止进进的TCP毗连,而进来的TCP毗连不会遭到影响。这即是--tcp-flagsSYN,RST,ACKSYN。假如"--syn"后面有"!"标志,暗示相反的意义。
  --tcp-option[!]number
  婚配设置了TCP选项的。
  udp
  当protocoludp被指定,且其他婚配的扩大未被指准时,这些扩大被装载,它供应以下选项:
  --source-port[!][port:[port]]
  源端口或端口局限指定。详见TCP扩大的--source-port选项申明。
  --destination-port[!][port:[port]]
  方针端口或端口局限指定。详见TCP扩大的--destination-port选项申明。
  icmp
  当protocolicmp被指定,且其他婚配的扩大未被指准时,该扩大被装载。它供应以下选项:
  --icmp-type[!]typename
  这个选项同意指定ICMP范例,能够是一个数值型的ICMP范例,大概是某个由命令iptables-picmp-h所显现的ICMP范例名。
  mac
  --mac-source[!]address
  
上一页1234下一页


学习python,无论你是打算拿他当主要开发语言,还是当辅助开发语言,你都应该学习他,因为有些时间我们耗不起。
逍遥一派 该用户已被删除
板凳
 楼主| 发表于 2015-1-16 12:42:39 | 只看该作者

给大家带来Linux命令Iptables利用先容

为什么我使用一个命令的时候,系统告诉我找不到该目录,我要如何限制使用者的权限等问题,这些问题其实都不是很难的。
婚配物理地点。必需是XX:XX:XX:XX:XX如许的格局。注重它只对来自以太设备并进进PREROUTING、FORWORD和INPUT链的包无效。</P>  limit
  这个模块婚配标记用一个标志桶过滤器逐一定速率举行婚配,它和LOG方针分离利用来给出无限的上岸数.当到达这个极限值时,利用这个扩大包的划定规矩将举行婚配.(除非利用了"!"标志)
  --limitrate
  最年夜均匀婚配速度:可赋的值有/second,/minute,/hour,or/day如许的单元,默许是3/hour。
  --limit-burstnumber
  待婚配包初始个数的最年夜值:若后面指定的极限还没到达这个数值,则概数字加1.默许值为5
  multiport
  这个模块婚配一组源端口或方针端口,最多能够指定15个端口。只能和-ptcp大概-pudp连着利用。
  --source-port[port[,port]]
  假如源端口是个中一个给定端口则婚配
  --destination-port[port[,port]]
  假如方针端口是个中一个给定端口则婚配
  --port[port[,port]]
  若源端口和目标端口相称并与某个给定端口相称,则婚配。
  mark
  这个模块和与netfilter过滤器标志字段婚配(就能够鄙人面设置为利用MARK标志)。
  --markvalue[/mask]
  婚配那些无标记标志值的包(假如指定mask,在对照之前会给掩码加上逻辑的标志)。
  owner
  此模块试为当地天生包婚配包创立者的分歧特性。只能用于OUTPUT链,并且即便如许一些包(如ICMPping应对)还大概没有一切者,因而永久不会婚配。
  --uid-owneruserid
  假如给出无效的userid,那末婚配它的历程发生的包。
  --gid-ownergroupid
  假如给出无效的groupid,那末婚配它的历程发生的包。
--sid-ownerseessionid
  依据给出的会话组婚配该历程发生的包。
  state
  此模块,当与毗连跟踪分离利用时,同意会见包的毗连跟踪形态。
  --statestate
  这里state是一个逗号支解的婚配毗连形态列表。大概的形态是:INVALID暗示包是未知毗连,ESTABLISHED暗示是双向传送的毗连,NEW暗示包为新的毗连,不然长短双向传送的,而RELATED暗示包由新毗连入手下手,可是和一个已存在的毗连在一同,如FTP数据传送,大概一个ICMP毛病。
  unclean
  此模块没有可选项,不外它试着婚配那些奇异的、不罕见的包。处在实行中。
  tos
  此模块婚配IP包首部的8位tos(服务范例)字段(也就是说,包括在优先位中)。
  --tostos
  这个参数能够是一个尺度称号,(用iptables-mtos-h观察该列表),大概数值。
  TARGETEXTENSIONS
  iptables可使用扩大方针模块:以下都包括在尺度版中。
  LOG
  为婚配的包开启内核纪录。当在划定规矩中设置了这一选项后,linux内核会经由过程printk()打印一些关于全体婚配包的信息(诸如IP包头字段等)。
  --log-levellevel
  纪录级别(数字或参看syslog.conf(5))。
  --log-prefixprefix
  在记录信息前加上特定的前缀:最多14个字母长,用来和纪录中其他信息区分。
  --log-tcp-sequence
  纪录TCP序列号。假如纪录能被用户读取那末这将存在平安隐患。
  --log-tcp-options
  纪录来自TCP包头部的选项。
  --log-ip-options
  纪录来自IP包头部的选项。
  MARK
  用来设置包的netfilter标志值。只合用于mangle表。
  --set-markmark
  REJECT
  作为对婚配的包的呼应,前往一个毛病的包:其他情形下和DROP不异。
  此方针只合用于INPUT、FORWARD和OUTPUT链,和挪用这些链的用户自界说链。这几个选项把持前往的毛病包的特征:
  --reject-withtype
  Type能够是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、icmp-net-prohibited大概icmp-host-prohibited,该范例会前往响应的ICMP毛病信息(默许是port-unreachable)。选项echo-reply也是同意的;它只能用于指定ICMPping包的划定规矩中,天生ping的回应。最初,选项tcp-reset能够用于在INPUT链中,或自INPUT链挪用的划定规矩,只婚配TCP协定:将回应一个TCPRST包。
  TOS
  用来设置IP包的首部八位tos。只能用于mangle表。
  --set-tostos
  你可使用一个数值型的TOS值,大概用iptables-jTOS-h来检察无效TOS名列表。
  MIRROR
  这是一个实验树模方针,可用于转换IP首部字段中的源地点和方针地点,再传送该包,并只合用于INPUT、FORWARD和OUTPUT链,和只挪用它们的用户自界说链。
  SNAT
  这个方针只合用于nat表的POSTROUTING链。它划定修正包的源地点(此毗连今后一切的包城市被影响),中断对划定规矩的反省,它包括选项:
  --to-source<ipaddr>[-<ipaddr>][:port-port]

上一页1234下一页


不同版本的Linux命令数量不一样,这里笔者把它们中比较重要的和使用频率最多的命令。
逍遥一派 该用户已被删除
地板
 楼主| 发表于 2015-1-16 12:42:59 | 只看该作者

给大家带来Linux命令Iptables利用先容

学习python,无论你是打算拿他当主要开发语言,还是当辅助开发语言,你都应该学习他,因为有些时间我们耗不起。
  能够指定一个单一的新的IP地点,一个IP地点局限,也能够附加一个端口局限(只能在指定-ptcp大概-pudp的划定规矩里)。假如未指定端口局限,源端口中512以下的(端口)会被安装为其他的512以下的端口;512到1024之间的端口会被安装为1024以下的,其他端口会被安装为1024或以上。假如大概,端口不会被修正。</P>  --to-destiontion<ipaddr>[-<ipaddr>][:port-port]
  能够指定一个单一的新的IP地点,一个IP地点局限,也能够附加一个端口局限(只能在指定-ptcp大概-pudp的划定规矩里)。假如未指定端口局限,方针端口不会被修正。
  MASQUERADE
  只用于nat表的POSTROUTING链。只能用于静态猎取IP(拨号)毗连:假如你具有静态IP地点,你要用SNAT。假装相称于给包收回时所经由接口的IP地点设置一个映像,当接口封闭毗连会停止。这是由于当下一次拨号时一定是不异的接口地点(今后一切创建的毗连都将封闭)。它有一个选项:
  --to-ports<port>[-port>]
  指定利用的源端口局限,掩盖默许的SNAT源地点选择(见下面)。这个选项只合用于指定了-ptcp大概-pudp的划定规矩。
  REDIRECT
  只合用于nat表的PREROUTING和OUTPUT链,和只挪用它们的用户自界说链。它修正包的方针IP地点来发送包到呆板本身(当地天生的包被安装为地点127.0.0.1)。它包括一个选项:
  --to-ports<port>[<port>]
  指定利用的目标端口或端口局限:不指定的话,方针端口不会被修正。只能用于指定了-ptcp或-pudp的划定规矩。
  DIAGNOSTICS
  诊断
  分歧的毛病信息会打印成尺度毛病:加入代码0暗示准确。相似于不合错误的大概滥用的命令行参数毛病会前往毛病代码2,其他毛病前往代码为1。
  BUGS
  臭虫
  Checkisnotimplemented(yet).
  反省还未完成。
  COMPATIBILITYWITHIPCHAINS
  与ipchains的兼容性
  iptables和RustyRussell的ipchains十分类似。次要区分是INPUT链只用于进进当地主机的包,而OUTPUT只用于自当地主机天生的包。因而每一个包只经由三个链的一个;之前转发的包会经由一切三个链。其他次要区分是-i援用进进接口;-o援用输入接口,二者都合用于进进FORWARD链的包。当和可选扩大模块一同利用默许过滤器表时,iptables是一个地道的包过滤器。这能年夜年夜削减之前对IP假装和包过滤分离利用的搅浑,以是以下选项作了分歧的处置:
  -jMASQ
  -M-S
  -M-L
  在iptables中有几个分歧的链
</p>
上一页1234


文件处理命令:file、mkdir、grep、dd、find、mv、ls、diff、cat、ln
小妖女 该用户已被删除
5#
发表于 2015-1-18 15:57:16 | 只看该作者
笔者五分钟后就给出了解决方法:“首先备份原文件到其他目录,然后删掉/usr/local/unispim/unispimsp.ksc,编辑/usr/local/unispim/unispimsp.ini,最后重启动计算机
灵魂腐蚀 该用户已被删除
6#
发表于 2015-1-27 10:51:11 | 只看该作者
Linux只是个内核!这点很重要,你必须理解这一点。只有一个内核是不能构成一个操作系统的。
若相依 该用户已被删除
7#
发表于 2015-2-5 12:40:37 | 只看该作者
选择交流平台,如QQ群,网站论坛等。
精灵巫婆 该用户已被删除
8#
发表于 2015-2-11 21:56:44 | 只看该作者
未来的学习之路将是以指数增加的方式增长的。从网管员来说,命令行实际上就是规则,它总是有效的,同时也是灵活的。
莫相离 该用户已被删除
9#
发表于 2015-3-2 21:00:55 | 只看该作者
任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。
第二个灵魂 该用户已被删除
10#
发表于 2015-3-11 06:57:07 | 只看该作者
老实说,第一个程序是在C中编译好的,调试好了才在Linux下运行,感觉用vi比较麻烦,因为有错了不能调试,只是提示错误。
因胸联盟 该用户已被删除
11#
发表于 2015-3-18 02:46:28 | 只看该作者
上课传授的不仅仅是知识,更重要的是一些道理,包括一些做人的道理,讲课时也抓住重点,循序渐进,让同学理解很快;更可贵的是不以你过去的成绩看问题.
蒙在股里 该用户已被删除
12#
发表于 2015-3-25 11:59:15 | 只看该作者
得到到草率的回答或者根本得不到任何Linux答案。越表现出在寻求帮助前为解决问题付出的努力,你越能得到实质性的帮助。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 16:57

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表