版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、IP6tables使用方法(man手冊)-Pchaintargetoptions-Eold-chain-namenew-chain-name描述ip6tables通常是用來建立、維護、檢查linux內核IPv6包過濾表的??赡芏x了幾個不同的表。每個表都包含了一些內置的鏈和用戶定義的鏈。每個鏈都是匹配一組包的規(guī)則的列表。每個規(guī)則都說明了如何匹配一個包。這是個target的調用,這個target在相同的表中或許會跳轉到用戶定義的鏈。目的防火墻規(guī)則說明了包的規(guī)則和目標。如果一個包沒有匹配,用鏈中的下一個規(guī)則檢查;如果不匹配,下一個規(guī)則用target的值說明,target的值可能命名了一條用戶定義的
2、鏈,或者指定了ACCEPT、DROP、QUEUE或RETURN值中的一個。ACCEPT意思是讓包通過,DROP的意思是在底層把包丟棄。QUEUE的意思是把傳送到用戶空間。RETURN的意思是停止正在遍歷的鏈,返回先前鏈的下一個規(guī)則。如果到達內置鏈的最后或者匹配上了帶RETURN值白target內置鏈的規(guī)則,被鏈策略指定的target決定了包的命運。目前有兩個獨立的用于nat的表沒有實現。名稱ip6tables-Ipv6包過濾管理摘要ip6tables-ttable-ADchainrule-specificationoptionsip6tables-ttableTchainrulenumrule
3、-specificationoptionsip6tables-ttable-Rchainrulenumrule-specificationoptionsip6tables-ttable-Dchainrulenumoptionsip6tables-ttableLFZchainoptionsip6tables-ttable-Nchainip6tables-ttableTXchainip6tables-ttableip6tables-ttable-t,-table表名該選項指出包匹配的表名,該表就是命令操作的那個表。如果內核被配置為自動加載模塊,如果這個表不存在,內核就要加載對應于這個表的模塊。有如
4、下表:filter:如果沒有-t選項,該表是默認的表。它包含了內置的鏈INPUT(用于進入防火墻的包)、FORWARD(用于經防火墻轉發(fā)的包)和OUTPUT(防火墻本地生成的包)mangle:這個表專門用于包的變化。包含了五個表,INPUT(用于進入防火墻的包)、PREROUTING(用于進入防火墻路由之前變化的包)、OUTPUT(用于本地生成的路由之前變更的包)、FORWARD(用于通過防火墻路由的變更的包)、POSTROUTING(用于差不多要發(fā)送出去的變更的包)raw:該表主要用于配置了NOTRACK的target的免于連接跟蹤的情況。在調用nf_conntrack之前以最高優(yōu)先級注冊到
5、netfilter的hooks點上。提供了兩個內置的鏈PREROUTING(用于經過一些網絡接口到達的包)和OUTPUT(用于本地進程生成的包)選項ip6tables的選項分為以下幾個組:命令組這個選項指定了要執(zhí)行的明確的動作。在命令行中只能指定一個,除非有其他規(guī)定。- A,-appendchainrule-specification在選中的鏈后增加一條或多條規(guī)則。當源和/或目的代表了不止一個地址,規(guī)則要增加到每一個可能的地址上。- D,-deletechainrule-specification- D,-deletechainrulenum從選中的鏈中刪除一條或多條規(guī)則。有兩個版本命令可用:
6、可以指定在鏈中規(guī)則的號碼,也可以指定匹配的規(guī)則。- I,-insert在選中的鏈中按照給出的規(guī)則號碼插入一條或多條規(guī)則。如果沒有規(guī)則號碼指定,默認值為1。插入到鏈的頭部。- R,-replacechainrulenumrule-specification在指定的鏈中替換一條規(guī)則。如果源和/或目的代表了多個地址,命令失敗。規(guī)則號碼從1開始。- L,-listchain列出所有指定鏈的規(guī)則,如果沒有指定鏈,列出所有鏈的規(guī)則。像其他的每個命令一樣,必須指定應用的表 (filter是默認的) , 因此mangle表的規(guī)則通過命令ip6tables式mangle-n-L來顯示。-n選項避免長反向DNS查
7、找。-Z選項將列出的規(guī)則值自動清零。如果要查看詳細的輸出,用ip6tables-L-v- F,-flushchain刷新指定的鏈(如果沒有指定鏈,刷新這個表的所有鏈)。相當于刪除鏈的所有規(guī)則- Z,-zerochain將鏈中的包數和字節(jié)數清零。通常和-L,-list一起使用。- N,-new-chainchain建立一個用戶定義的新鏈,名稱不能是target指定的。- X,-delete-chainchain刪除指定的用戶定義的鏈。這個鏈不能被使用,如果在使用,現刪除上面的規(guī)則。如果沒有指定參數,刪除表中所有非內置鏈。- P,-policychaintarget為給定target的鏈設置策略。
8、target的設置參見“目標”一節(jié)。只有內置的鏈可以有策略,所有鏈的都可以有target策略。- E,-rename-chainold-chainnew-chain改變用戶指定鏈的名稱,對表的結構沒有影響。- h幫助參數組下面的參數是建立規(guī)則的說明。- p,-protocol!protocol規(guī)則或包檢查的協議。指定的協議可以是tcp,upd,icmpv6,esp中的一個或全部。也可以是數值,代表這些協議中的某一個。也可以使用/etc/protocols中的協議名。除了esp外ipv6的擴展頭是不允許使用的。在協議名前的“!”表示相反的規(guī)則。數字0相當于所有協議all。協議all會匹配所有的協
9、議,而且這是缺省的選項。- s,-source!address/mask指定源地址。地址可以是主機名,一個帶掩碼的ipv6網絡地址,或者一個ipv6地址。掩碼可以是網絡掩碼,也可以是一個數字。地址前面的“!”說明指定地址相反的情況。-src是這個選項的別名。指定目的地址。語法同上。-dst是這個選項的別名。- j,-jumptarget指定規(guī)則的目標。就是如果包匹配了下一步做什么。目標可以是用戶自定義的鏈(不是這條規(guī)則所在的),立即決定包命運的特別內置目標之一,或者一個擴展(參見下面的EXTENSIONS)。如果規(guī)則的這個選項省略,那么匹配的過程不會對包的命運產生影響,不過規(guī)則的計數器會增加。
10、- i,-in-interface!name包被接收時經過的接口名稱(僅用于包進入INPUT、FORWARDPREROUTING鏈)。接口名稱前有“!”時,情況相反。如果接口名稱以“+”結束,任何以該名稱開始的接口都匹配。如果該項省略,匹配任何名稱接口。- o,-out-interface!name包發(fā)送時經過的接口名稱(用于FORWARD、OUTPUT鏈)。接口名稱前有“一時,情況相反。如果接口名稱以“+”結束,任何以該名稱開始的接口都匹配。如果該項省略,匹配任何名稱接口。- c,-set-countersPKTSBYTES初始化規(guī)則中包和字節(jié)的計數器。(在INSERT、APPEND、REP
11、LACE操作時)其他選項- v,-verbose詳細輸出。這個選項可以讓list命令顯示接口名稱,規(guī)則選項(如果有),和TOS掩碼。包和字節(jié)計數器也被顯示,分別用數字和K、M、G(后綴)表示1000、1,000,000、1,000,000,000的倍數(-x標志可以改變)。對于添加、插入、刪除、替換命令,能夠使一個或多個規(guī)則的詳細信息打印出來。- n,-numeric數字輸出。IP地址和端口號以數字形式顯示。默認情況下,程序將以主機名稱,網絡名稱,或者服務(只要合適)顯示。-x,-exact擴展數字。顯示包和字節(jié)計數器的精確值,代替用K、M、G顯示的約數。這個選項只能用于-L命令-line-n
12、umbers當顯示規(guī)則時,給每個規(guī)則前加上編號。這個編號與規(guī)則在鏈中的的位置一致。-modprobe=command在鏈表中添加和插入規(guī)則時,用command”加載所需的模塊(目標、匹配擴展等)匹配擴展ip6tables能夠使用與模塊匹配的擴展包。有兩種加載方式:用-p或-protocol指定,或者用-m或-match選項,后跟匹配的模塊名稱。然后,相對于指定模塊的各種擴展的命令行選項可以使用。在一行中可以指定多個匹配的擴展模塊。ah這個模塊匹配IPSec包的認證包頭參數。-ahspiispi:spi匹配SPI-ahlenilength以字節(jié)為單位的包頭的總長度-ahres如果保留位字段都是0
13、,匹配condition-condition!filename匹配存儲在文件/proc/net/ip6t_condition/filename中的布爾值。dst該模塊匹配目的地址選項包頭參數-dst-len!length以字節(jié)為單位的包頭的總長度-dst-optstype:length,type:length以字節(jié)為單位的選項類型號和選項數據長度esp該模塊匹配IPSec包白ESP包頭的SPIs-espspi!spi:spieui64該模塊匹配IPv6地址無狀態(tài)自動分配的EUI-64部分。它比較來源于以太網幀中IPv6源地址的低64位的源mac地址的EUI-64。但是“全球/本地”位不比較。該
14、模塊不能匹配其他鏈路的幀,并且只在PREROUTING、INPUT和FORWARD鏈中應用。frag該模塊匹配分片包頭參數-fragidiid:idj匹配給定的標識符或者其范圍-fraglenilength該選項不能用在2.6.10或之后版本-fragres如果保留位字段都是0,匹配-fragfirst匹配第一個分片-fragmore如果有更多的分片,匹配-fraglast如果是最后一個分片,匹配fuzzy該模塊匹配在一個模糊邏輯控制基礎上的速率限制-lower-limitnumber指定一個最低限制(每秒包數)-upper-limitnumber指定一個最高限制(每秒包數)hbh該模塊匹配H
15、op-by-Hop選項頭參數-hbh-len!length以字節(jié)為單位的包頭的總長度-hbh-optstype:length,type:length以字節(jié)為單位的選項類型的號碼和選項數據的長度hl該模塊匹配IPv6包頭的下一跳字段-hl-eq!value如果下一跳限制等于value值,匹配-hl-lq!value如果下一跳限制小于value值,匹配如果下一跳限制大于value值,匹配icmpv6-icmpv6-type!type/codetypename所允許的ICMPv6類型的說明,ICMPv6類型的號碼,類型和編碼,或者其中之一的類型名稱。通過下面命令顯示:ip6tables-pipv6-
16、icmp-hipv6header該模塊匹配Ipv6擴展包頭和/或上層協議包頭-header!header,header并不是所有指定的包頭的包都匹配。封裝了ESP擴展包頭的包就不在其中。header參數可以是Hop-by-Hop、dst、route、frag、auth、esp、none,或者上層協議的包頭。/etc/protocol文件中的協議名字也可以,也允許數值。255相當于上層協議包頭。-soft使用參-header指定的所有包頭中至少有一個匹配length該模塊匹配以字節(jié)為單位的Ipv6凈載荷的長度,或者長度范圍。ipv6包頭本身不包括。-length!length:lengthlim
17、it該模塊匹配使用令牌桶過濾的一個限制速率。使用這個擴展模塊的規(guī)則直到速率達到限制的速率才匹配??梢院蚅OG目標一起使用,-limitrate匹配最大的平均速率。-limit-burstnumber匹配最大的初始包數。在沒有到達限制時,可以改變限制數。默認為5mac-mac-source!address匹配源mac地址。(IPv6是否能用?)只用在PREROUTING、FORWARD和INPUT鏈上。mark該模塊匹配與包有聯系的netfiltermark字段(能用下面MARKtarget設置的包)-markvalue/mask用指定的無符號mark值匹配包(如果指定了mask,在比較前用ma
18、sk進行邏輯與)multiport該模塊匹配一組源或目的端口??偣部梢灾付?5個。一個端口范圍(port:port)算兩個,但是范圍現在不支持。只能使用在-ptcp和-pudp一起時。-source-ports!port,port,port:port.如果源端口是指定的端口之一,匹配成功。-sports是該選項方便的別名。-destination-ports!port,port,port:port.如果目的端口是指定的端口之一,匹配成功。-dports是該選項方便的別名。-ports!port,port,port:port.如果源端口和目的端口是指定的端口之一,匹配成功。nth(省略)owne
19、r該模塊匹配本地產生的包的各種特征。只應用于OUTPUT鏈,甚至一些沒有owen的包(ICMPv6ping的響應包),因此永遠無法匹配。-uid-owneruerid如果給定用戶ID進程產生的包匹配。-gid-ownergroupid如果給定組ID的進程產生的包匹配-pid-ownerprocessed如果給定進程號的進程產生的包匹配-sid-ownersessionid如果給定的會話組進程產生的包匹配注意:如果在SMP情況下pid和sid不成立physdev該模塊匹配被橋設備使用的輸入和輸出的端口。-physdev-in!name橋端口的名稱,經過給端口接收包。(只用于INPUT、FORWA
20、RD、PREROUTING鏈)。如果接口名稱以“+”結束,任何以該名稱開頭的接口都匹配-physdev-out!name橋端口的名稱,經過給端口發(fā)送包。(只用于OUTPUT、FORWARD、PPSTROUTING鏈)。如果接口名稱以“+”結束,任何以該名稱開頭的接口都匹配!-physdev-is-in如果進入的包通過橋接口匹配!-physdev-is-out如果離開的包通過橋接口匹配!-physdev-is-bridged如果包是橋接的而不是路由的匹配。只用于FORWARD和POSTROUTING鏈。policy該模塊匹配IPSec處理包的策略。-dirin|out選擇是匹配解封策略,還是封裝
21、策略。in用于PREROUTING、INPUT和FORWARD鏈。out用于POSTROUTING、OUTPUT和FORWARD鏈-polnone|ipsec如果這個包被IPSec處理匹配-strict選項是否匹配精確測量,或者給出的策略的任意規(guī)則。-spispj匹配SA的SPI-protoah|esp|ipcomp匹配封裝協議-modetunnel|transport匹配封裝模式-tunnel-srcaddr/mask匹配一個隧道模式源端點地址。只用在-modetunnel-tunnel-dstaddr/mask匹配一個隧道模式目的端點地址。只用在-modetunnel-next從指定策略的
22、下一個開始。只用于-strictrandom該模塊隨機匹配所有包的某個百分比。-averagepercent匹配指定的百分比。如果省略,默認設置為50%rt匹配IPv6路由包頭-rt-type!type匹配類型(號碼)-rt-segsleft!num:num(省略)-rt-len!length匹配包頭長度-rt-0-res匹配保留字段(type=0)-rt-0-addressADDR,ADDR匹配type=0的地址(列表)-rt-0-non-strict列出type=0的地址,而非詳細顯示tcp-source-port!port:port指定了源端口或端口范圍??梢允欠彰蛘叨丝跀?。通過po
23、rt:port指定一個包括一且的范圍。第一個端口省略,默認為“0”,最后一個端口省略,默認為“65535。-sport是這個選項的方便別名-destination-port!port:port指定了目的端口或端口范圍。-dport是這個選項的方便別名-tcp-flag!maskcomp當我們指定了tcp標志時匹配。標志中的第一個參數作為應該檢測的命令分隔符的列表,第二個參數是必須設置的標志在命令分隔符列表中。標志有:SYN、ACK、FIN、RST、URG、PSH、ALL、NONE。因止匕,命令ip6tablesAFORWARD-ptcpdcp-flagsSYN,ACK,FIN,RSTSYN”只
24、匹配帶有SYN標志的包。!wyn只匹配包中含有SYN標志的。前面加“!”情況相反。-tcp-opton!number如果設置了選項進行匹配udp-source-port!port:port指定了源端口或端口范圍。細節(jié)部分描述同TCP。-destination-port!port:port指定了目的端口或端口范圍。細節(jié)部分描述同TCP。目標擴展HL用來修改IPv6包頭中的下一跳限制。該目標只用于mangle表。-hl-setvalue設置跳限的值為value-hl-decvalue減少跳限的值-hl-incvalue增加跳限的值LOG打開內核中匹配包的日志。-log-levellevel記錄日志的級別-lo
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 【正版授權】 IEC 60034:2025 SER EN-FR Rotating electrical machines - ALL PARTS
- 陜西省榆林市2025屆高三第二次模擬檢測英語試題(含解析含聽力原文無音頻)
- 數學-山東省2025年1月濟南市高三期末學習質量檢測濟南期末試題和答案
- 2024版機械設備維修與保養(yǎng)合同3篇
- 2024版安全技術咨詢服務具體協議模板版B版
- 2024電力施工協議條款及細則版B版
- 2024項目泥工專項分包協議條款版B版
- 2024年公務員考試井研縣《行政職業(yè)能力測驗》考前沖刺試卷含解析
- 2024年暑假安全責任書(34篇)
- 2024酒店會議服務協議
- 中國省市地圖模板可編輯模板課件
- 《中國潰瘍性結腸炎診治指南(2023年)》解讀
- 三年級數學上冊《寒假作業(yè)》
- 兒童社區(qū)獲得性肺炎的診斷和治療
- 中職班主任德育培訓
- DB-T29-74-2018天津市城市道路工程施工及驗收標準
- 小學一年級20以內加減法混合運算3000題(已排版)
- 病機-基本病機 邪正盛衰講解
- 中科院簡介介紹
- 《小石潭記》教學實錄及反思特級教師-王君
- 【高中語文】《錦瑟》《書憤》課件+++統編版+高中語文選擇性必修中冊+
評論
0/150
提交評論