IP6tables使用方法

1、IP6tables使用方法（man手冊(cè)）-Pchaintargetoptions-Eold-chain-namenew-chain-name描述ip6tables通常是用來建立、維護(hù)、檢查linux內(nèi)核IPv6包過濾表的?？赡芏x了幾個(gè)不同的表。每個(gè)表都包含了一些內(nèi)置的鏈和用戶定義的鏈。每個(gè)鏈都是匹配一組包的規(guī)則的列表。每個(gè)規(guī)則都說明了如何匹配一個(gè)包。這是個(gè)target的調(diào)用，這個(gè)target在相同的表中或許會(huì)跳轉(zhuǎn)到用戶定義的鏈。目的防火墻規(guī)則說明了包的規(guī)則和目標(biāo)。如果一個(gè)包沒有匹配，用鏈中的下一個(gè)規(guī)則檢查；如果不匹配，下一個(gè)規(guī)則用target的值說明，target的值可能命名了一條用戶定義的

2、鏈，或者指定了ACCEPT、DROP、QUEUE或RETURN值中的一個(gè)。ACCEPT意思是讓包通過，DROP的意思是在底層把包丟棄。QUEUE的意思是把傳送到用戶空間。RETURN的意思是停止正在遍歷的鏈，返回先前鏈的下一個(gè)規(guī)則。如果到達(dá)內(nèi)置鏈的最后或者匹配上了帶RETURN值白target內(nèi)置鏈的規(guī)則，被鏈策略指定的target決定了包的命運(yùn)。目前有兩個(gè)獨(dú)立的用于nat的表沒有實(shí)現(xiàn)。名稱ip6tables-Ipv6包過濾管理摘要ip6tables-ttable-ADchainrule-specificationoptionsip6tables-ttableTchainrulenumrule

3、-specificationoptionsip6tables-ttable-Rchainrulenumrule-specificationoptionsip6tables-ttable-Dchainrulenumoptionsip6tables-ttableLFZchainoptionsip6tables-ttable-Nchainip6tables-ttableTXchainip6tables-ttableip6tables-ttable-t,-table表名該選項(xiàng)指出包匹配的表名，該表就是命令操作的那個(gè)表。如果內(nèi)核被配置為自動(dòng)加載模塊，如果這個(gè)表不存在，內(nèi)核就要加載對(duì)應(yīng)于這個(gè)表的模塊。有如

4、下表：filter：如果沒有-t選項(xiàng)，該表是默認(rèn)的表。它包含了內(nèi)置的鏈INPUT（用于進(jìn)入防火墻的包）、FORWARD（用于經(jīng)防火墻轉(zhuǎn)發(fā)的包）和OUTPUT（防火墻本地生成的包）mangle：這個(gè)表專門用于包的變化。包含了五個(gè)表，INPUT（用于進(jìn)入防火墻的包）、PREROUTING（用于進(jìn)入防火墻路由之前變化的包）、OUTPUT（用于本地生成的路由之前變更的包）、FORWARD（用于通過防火墻路由的變更的包）、POSTROUTING（用于差不多要發(fā)送出去的變更的包）raw：該表主要用于配置了NOTRACK的target的免于連接跟蹤的情況。在調(diào)用nf_conntrack之前以最高優(yōu)先級(jí)注冊(cè)到

5、netfilter的hooks點(diǎn)上。提供了兩個(gè)內(nèi)置的鏈PREROUTING（用于經(jīng)過一些網(wǎng)絡(luò)接口到達(dá)的包）和OUTPUT（用于本地進(jìn)程生成的包）選項(xiàng)ip6tables的選項(xiàng)分為以下幾個(gè)組：命令組這個(gè)選項(xiàng)指定了要執(zhí)行的明確的動(dòng)作。在命令行中只能指定一個(gè)，除非有其他規(guī)定。- A,-appendchainrule-specification在選中的鏈后增加一條或多條規(guī)則。當(dāng)源和/或目的代表了不止一個(gè)地址，規(guī)則要增加到每一個(gè)可能的地址上。- D,-deletechainrule-specification- D,-deletechainrulenum從選中的鏈中刪除一條或多條規(guī)則。有兩個(gè)版本命令可用：

6、可以指定在鏈中規(guī)則的號(hào)碼，也可以指定匹配的規(guī)則。- I,-insert在選中的鏈中按照給出的規(guī)則號(hào)碼插入一條或多條規(guī)則。如果沒有規(guī)則號(hào)碼指定，默認(rèn)值為1。插入到鏈的頭部。- R,-replacechainrulenumrule-specification在指定的鏈中替換一條規(guī)則。如果源和/或目的代表了多個(gè)地址，命令失敗。規(guī)則號(hào)碼從1開始。- L,-listchain列出所有指定鏈的規(guī)則，如果沒有指定鏈，列出所有鏈的規(guī)則。像其他的每個(gè)命令一樣，必須指定應(yīng)用的表 （filter是默認(rèn)的） ， 因此mangle表的規(guī)則通過命令ip6tables式mangle-n-L來顯示。-n選項(xiàng)避免長(zhǎng)反向DNS查

7、找。-Z選項(xiàng)將列出的規(guī)則值自動(dòng)清零。如果要查看詳細(xì)的輸出，用ip6tables-L-v- F,-flushchain刷新指定的鏈（如果沒有指定鏈，刷新這個(gè)表的所有鏈）。相當(dāng)于刪除鏈的所有規(guī)則- Z,-zerochain將鏈中的包數(shù)和字節(jié)數(shù)清零。通常和-L,-list一起使用。- N,-new-chainchain建立一個(gè)用戶定義的新鏈，名稱不能是target指定的。- X,-delete-chainchain刪除指定的用戶定義的鏈。這個(gè)鏈不能被使用，如果在使用，現(xiàn)刪除上面的規(guī)則。如果沒有指定參數(shù)，刪除表中所有非內(nèi)置鏈。- P,-policychaintarget為給定target的鏈設(shè)置策略。

8、target的設(shè)置參見“目標(biāo)”一節(jié)。只有內(nèi)置的鏈可以有策略，所有鏈的都可以有target策略。- E,-rename-chainold-chainnew-chain改變用戶指定鏈的名稱，對(duì)表的結(jié)構(gòu)沒有影響。- h幫助參數(shù)組下面的參數(shù)是建立規(guī)則的說明。- p,-protocol!protocol規(guī)則或包檢查的協(xié)議。指定的協(xié)議可以是tcp,upd,icmpv6,esp中的一個(gè)或全部。也可以是數(shù)值，代表這些協(xié)議中的某一個(gè)。也可以使用/etc/protocols中的協(xié)議名。除了esp外ipv6的擴(kuò)展頭是不允許使用的。在協(xié)議名前的“！”表示相反的規(guī)則。數(shù)字0相當(dāng)于所有協(xié)議all。協(xié)議all會(huì)匹配所有的協(xié)

9、議，而且這是缺省的選項(xiàng)。- s,-source!address/mask指定源地址。地址可以是主機(jī)名，一個(gè)帶掩碼的ipv6網(wǎng)絡(luò)地址，或者一個(gè)ipv6地址。掩碼可以是網(wǎng)絡(luò)掩碼，也可以是一個(gè)數(shù)字。地址前面的“！”說明指定地址相反的情況。-src是這個(gè)選項(xiàng)的別名。指定目的地址。語法同上。-dst是這個(gè)選項(xiàng)的別名。- j,-jumptarget指定規(guī)則的目標(biāo)。就是如果包匹配了下一步做什么。目標(biāo)可以是用戶自定義的鏈（不是這條規(guī)則所在的），立即決定包命運(yùn)的特別內(nèi)置目標(biāo)之一，或者一個(gè)擴(kuò)展（參見下面的EXTENSIONS）。如果規(guī)則的這個(gè)選項(xiàng)省略，那么匹配的過程不會(huì)對(duì)包的命運(yùn)產(chǎn)生影響，不過規(guī)則的計(jì)數(shù)器會(huì)增加。

10、- i,-in-interface!name包被接收時(shí)經(jīng)過的接口名稱（僅用于包進(jìn)入INPUT、FORWARDPREROUTING鏈）。接口名稱前有“！”時(shí)，情況相反。如果接口名稱以“+”結(jié)束，任何以該名稱開始的接口都匹配。如果該項(xiàng)省略，匹配任何名稱接口。- o,-out-interface!name包發(fā)送時(shí)經(jīng)過的接口名稱（用于FORWARD、OUTPUT鏈）。接口名稱前有“一時(shí)，情況相反。如果接口名稱以“+”結(jié)束，任何以該名稱開始的接口都匹配。如果該項(xiàng)省略，匹配任何名稱接口。- c,-set-countersPKTSBYTES初始化規(guī)則中包和字節(jié)的計(jì)數(shù)器。（在INSERT、APPEND、REP

11、LACE操作時(shí)）其他選項(xiàng)- v,-verbose詳細(xì)輸出。這個(gè)選項(xiàng)可以讓list命令顯示接口名稱，規(guī)則選項(xiàng)（如果有），和TOS掩碼。包和字節(jié)計(jì)數(shù)器也被顯示，分別用數(shù)字和K、M、G（后綴）表示1000、1,000,000、1,000,000,000的倍數(shù)（-x標(biāo)志可以改變）。對(duì)于添加、插入、刪除、替換命令，能夠使一個(gè)或多個(gè)規(guī)則的詳細(xì)信息打印出來。- n,-numeric數(shù)字輸出。IP地址和端口號(hào)以數(shù)字形式顯示。默認(rèn)情況下，程序?qū)⒁灾鳈C(jī)名稱，網(wǎng)絡(luò)名稱，或者服務(wù)（只要合適）顯示。-x,-exact擴(kuò)展數(shù)字。顯示包和字節(jié)計(jì)數(shù)器的精確值，代替用K、M、G顯示的約數(shù)。這個(gè)選項(xiàng)只能用于-L命令-line-n

12、umbers當(dāng)顯示規(guī)則時(shí)，給每個(gè)規(guī)則前加上編號(hào)。這個(gè)編號(hào)與規(guī)則在鏈中的的位置一致。-modprobe=command在鏈表中添加和插入規(guī)則時(shí)，用command”加載所需的模塊（目標(biāo)、匹配擴(kuò)展等）匹配擴(kuò)展ip6tables能夠使用與模塊匹配的擴(kuò)展包。有兩種加載方式：用-p或-protocol指定,或者用-m或-match選項(xiàng)，后跟匹配的模塊名稱。然后，相對(duì)于指定模塊的各種擴(kuò)展的命令行選項(xiàng)可以使用。在一行中可以指定多個(gè)匹配的擴(kuò)展模塊。ah這個(gè)模塊匹配IPSec包的認(rèn)證包頭參數(shù)。-ahspiispi:spi匹配SPI-ahlenilength以字節(jié)為單位的包頭的總長(zhǎng)度-ahres如果保留位字段都是0

13、,匹配condition-condition!filename匹配存儲(chǔ)在文件/proc/net/ip6t_condition/filename中的布爾值。dst該模塊匹配目的地址選項(xiàng)包頭參數(shù)-dst-len!length以字節(jié)為單位的包頭的總長(zhǎng)度-dst-optstype:length,type:length以字節(jié)為單位的選項(xiàng)類型號(hào)和選項(xiàng)數(shù)據(jù)長(zhǎng)度esp該模塊匹配IPSec包白ESP包頭的SPIs-espspi!spi:spieui64該模塊匹配IPv6地址無狀態(tài)自動(dòng)分配的EUI-64部分。它比較來源于以太網(wǎng)幀中IPv6源地址的低64位的源mac地址的EUI-64。但是“全球/本地”位不比較。該

14、模塊不能匹配其他鏈路的幀，并且只在PREROUTING、INPUT和FORWARD鏈中應(yīng)用。frag該模塊匹配分片包頭參數(shù)-fragidiid:idj匹配給定的標(biāo)識(shí)符或者其范圍-fraglenilength該選項(xiàng)不能用在2.6.10或之后版本-fragres如果保留位字段都是0,匹配-fragfirst匹配第一個(gè)分片-fragmore如果有更多的分片，匹配-fraglast如果是最后一個(gè)分片，匹配fuzzy該模塊匹配在一個(gè)模糊邏輯控制基礎(chǔ)上的速率限制-lower-limitnumber指定一個(gè)最低限制（每秒包數(shù)）-upper-limitnumber指定一個(gè)最高限制（每秒包數(shù)）hbh該模塊匹配H

15、op-by-Hop選項(xiàng)頭參數(shù)-hbh-len!length以字節(jié)為單位的包頭的總長(zhǎng)度-hbh-optstype:length,type:length以字節(jié)為單位的選項(xiàng)類型的號(hào)碼和選項(xiàng)數(shù)據(jù)的長(zhǎng)度hl該模塊匹配IPv6包頭的下一跳字段-hl-eq!value如果下一跳限制等于value值，匹配-hl-lq!value如果下一跳限制小于value值，匹配如果下一跳限制大于value值，匹配icmpv6-icmpv6-type!type/codetypename所允許的ICMPv6類型的說明，ICMPv6類型的號(hào)碼，類型和編碼，或者其中之一的類型名稱。通過下面命令顯示：ip6tables-pipv6-

16、icmp-hipv6header該模塊匹配Ipv6擴(kuò)展包頭和/或上層協(xié)議包頭-header!header,header并不是所有指定的包頭的包都匹配。封裝了ESP擴(kuò)展包頭的包就不在其中。header參數(shù)可以是Hop-by-Hop、dst、route、frag、auth、esp、none,或者上層協(xié)議的包頭。/etc/protocol文件中的協(xié)議名字也可以，也允許數(shù)值。255相當(dāng)于上層協(xié)議包頭。-soft使用參-header指定的所有包頭中至少有一個(gè)匹配length該模塊匹配以字節(jié)為單位的Ipv6凈載荷的長(zhǎng)度，或者長(zhǎng)度范圍。ipv6包頭本身不包括。-length!length:lengthlim

17、it該模塊匹配使用令牌桶過濾的一個(gè)限制速率。使用這個(gè)擴(kuò)展模塊的規(guī)則直到速率達(dá)到限制的速率才匹配?？梢院蚅OG目標(biāo)一起使用，-limitrate匹配最大的平均速率。-limit-burstnumber匹配最大的初始包數(shù)。在沒有到達(dá)限制時(shí)，可以改變限制數(shù)。默認(rèn)為5mac-mac-source!address匹配源mac地址。（IPv6是否能用？）只用在PREROUTING、FORWARD和INPUT鏈上。mark該模塊匹配與包有聯(lián)系的netfiltermark字段（能用下面MARKtarget設(shè)置的包）-markvalue/mask用指定的無符號(hào)mark值匹配包（如果指定了mask,在比較前用ma

18、sk進(jìn)行邏輯與）multiport該模塊匹配一組源或目的端口?？偣部梢灾付?5個(gè)。一個(gè)端口范圍（port:port）算兩個(gè)，但是范圍現(xiàn)在不支持。只能使用在-ptcp和-pudp一起時(shí)。-source-ports!port,port,port:port.如果源端口是指定的端口之一，匹配成功。-sports是該選項(xiàng)方便的別名。-destination-ports!port,port,port:port.如果目的端口是指定的端口之一，匹配成功。-dports是該選項(xiàng)方便的別名。-ports!port,port,port:port.如果源端口和目的端口是指定的端口之一，匹配成功。nth（省略）owne

19、r該模塊匹配本地產(chǎn)生的包的各種特征。只應(yīng)用于OUTPUT鏈，甚至一些沒有owen的包（ICMPv6ping的響應(yīng)包），因此永遠(yuǎn)無法匹配。-uid-owneruerid如果給定用戶ID進(jìn)程產(chǎn)生的包匹配。-gid-ownergroupid如果給定組ID的進(jìn)程產(chǎn)生的包匹配-pid-ownerprocessed如果給定進(jìn)程號(hào)的進(jìn)程產(chǎn)生的包匹配-sid-ownersessionid如果給定的會(huì)話組進(jìn)程產(chǎn)生的包匹配注意：如果在SMP情況下pid和sid不成立physdev該模塊匹配被橋設(shè)備使用的輸入和輸出的端口。-physdev-in!name橋端口的名稱，經(jīng)過給端口接收包。（只用于INPUT、FORWA

20、RD、PREROUTING鏈）。如果接口名稱以“+”結(jié)束，任何以該名稱開頭的接口都匹配-physdev-out!name橋端口的名稱，經(jīng)過給端口發(fā)送包。（只用于OUTPUT、FORWARD、PPSTROUTING鏈）。如果接口名稱以“+”結(jié)束，任何以該名稱開頭的接口都匹配!-physdev-is-in如果進(jìn)入的包通過橋接口匹配!-physdev-is-out如果離開的包通過橋接口匹配!-physdev-is-bridged如果包是橋接的而不是路由的匹配。只用于FORWARD和POSTROUTING鏈。policy該模塊匹配IPSec處理包的策略。-dirin|out選擇是匹配解封策略，還是封裝

21、策略。in用于PREROUTING、INPUT和FORWARD鏈。out用于POSTROUTING、OUTPUT和FORWARD鏈-polnone|ipsec如果這個(gè)包被IPSec處理匹配-strict選項(xiàng)是否匹配精確測(cè)量，或者給出的策略的任意規(guī)則。-spispj匹配SA的SPI-protoah|esp|ipcomp匹配封裝協(xié)議-modetunnel|transport匹配封裝模式-tunnel-srcaddr/mask匹配一個(gè)隧道模式源端點(diǎn)地址。只用在-modetunnel-tunnel-dstaddr/mask匹配一個(gè)隧道模式目的端點(diǎn)地址。只用在-modetunnel-next從指定策略的

22、下一個(gè)開始。只用于-strictrandom該模塊隨機(jī)匹配所有包的某個(gè)百分比。-averagepercent匹配指定的百分比。如果省略，默認(rèn)設(shè)置為50%rt匹配IPv6路由包頭-rt-type!type匹配類型（號(hào)碼）-rt-segsleft!num:num（省略）-rt-len!length匹配包頭長(zhǎng)度-rt-0-res匹配保留字段（type=0）-rt-0-addressADDR,ADDR匹配type=0的地址（列表）-rt-0-non-strict列出type=0的地址，而非詳細(xì)顯示tcp-source-port!port:port指定了源端口或端口范圍?？梢允欠?wù)名或者端口數(shù)。通過po

23、rt:port指定一個(gè)包括一且的范圍。第一個(gè)端口省略，默認(rèn)為“0”，最后一個(gè)端口省略，默認(rèn)為“65535。-sport是這個(gè)選項(xiàng)的方便別名-destination-port!port:port指定了目的端口或端口范圍。-dport是這個(gè)選項(xiàng)的方便別名-tcp-flag!maskcomp當(dāng)我們指定了tcp標(biāo)志時(shí)匹配。標(biāo)志中的第一個(gè)參數(shù)作為應(yīng)該檢測(cè)的命令分隔符的列表，第二個(gè)參數(shù)是必須設(shè)置的標(biāo)志在命令分隔符列表中。標(biāo)志有：SYN、ACK、FIN、RST、URG、PSH、ALL、NONE。因止匕，命令ip6tablesAFORWARD-ptcpdcp-flagsSYN,ACK,FIN,RSTSYN”只

24、匹配帶有SYN標(biāo)志的包。!wyn只匹配包中含有SYN標(biāo)志的。前面加“！”情況相反。-tcp-opton!number如果設(shè)置了選項(xiàng)進(jìn)行匹配udp-source-port!port:port指定了源端口或端口范圍。細(xì)節(jié)部分描述同TCP。-destination-port!port:port指定了目的端口或端口范圍。細(xì)節(jié)部分描述同TCP。目標(biāo)擴(kuò)展HL用來修改IPv6包頭中的下一跳限制。該目標(biāo)只用于mangle表。-hl-setvalue設(shè)置跳限的值為value-hl-decvalue減少跳限的值-hl-incvalue增加跳限的值LOG打開內(nèi)核中匹配包的日志。-log-levellevel記錄日志的級(jí)別-lo