鲨鱼网
iptables的参数设定
创始人
2024-07-23 01:51:00
0

iptables设定

  iptables-save用来把当前的规则存入一个文件里以备iptables-restore使用。它的使用很简单,只有两个参数:

  1.   iptables-save [-c] [-t table]  
  2.  

  参数-c的作用是保存包和字节计数器的值。这可以使我们在重启防火墙后不丢失对包和字节的统计。带-c参数的iptables-save命令使重启防火墙而不中断统计记数程序成为可能。这个参数默认是不使用的。

  参数-t指定要保存的表,默认是保存所有的表。下面给出未装载任何规则的情况下iptables-save的输出。

  1.   # Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:17 2002  
  2.  
  3.   *filter  
  4.  
  5.   :INPUT ACCEPT [404:19766]  
  6.  
  7.   :FORWARD ACCEPT [0:0]  
  8.  
  9.   :OUTPUT ACCEPT [530:43376]  
  10.  
  11.   COMMIT  
  12.  
  13.   # Completed on Wed Apr 24 10:19:17 2002  
  14.  
  15.   # Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:17 2002  
  16.  
  17.   *mangle  
  18.  
  19.   :PREROUTING ACCEPT [451:22060]  
  20.  
  21.   :INPUT ACCEPT [451:22060]  
  22.  
  23.   :FORWARD ACCEPT [0:0]  
  24.  
  25.   :OUTPUT ACCEPT [594:47151]  
  26.  
  27.   :POSTROUTING ACCEPT [594:47151]  
  28.  
  29.   COMMIT  
  30.  
  31.   # Completed on Wed Apr 24 10:19:17 2002  
  32.  
  33.   # Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:17 2002  
  34.  
  35.   *nat  
  36.  
  37.   :PREROUTING ACCEPT [0:0]  
  38.  
  39.   :POSTROUTING ACCEPT [3:450]  
  40.  
  41.   :OUTPUT ACCEPT [3:450]  
  42.  
  43.   COMMIT  
  44.  
  45.   # Completed on Wed Apr 24 10:19:17 2002  
  46.  

  我们来解释一下这个输出格式。#后面的是注释。表都以* 开始,例如*mangle。每个表都包含链和规则,链的详细说明是: [ :]。例如,链的名字是 PREROUTING,策略是ACCEPT,然后是包记数器和字节计数器,这两个计数器和iptables -L -v输出中用到的计数器一样。每个表的描述都以关键字COMMIT结束,它说明在这一点,就要把规则装入内核了。

  上面的例子是最基本的,我想用一个简短的例子说明会更好,其中包含一个非常小的规则集Iptables-save ruleset。iptables-save的输出如下:

  1.   # Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:55 2002  
  2.  
  3.   *filter  
  4.  
  5.   :INPUT DROP [1:229]  
  6.  
  7.   :FORWARD DROP [0:0]  
  8.  
  9.   :OUTPUT DROP [0:0]  
  10.  
  11.   -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  
  12.  
  13.   -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT  
  14.  
  15.   -A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT  
  16.  
  17.   -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT  
  18.  
  19.   COMMIT  
  20.  
  21.   # Completed on Wed Apr 24 10:19:55 2002  
  22.  
  23.   # Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:55 2002  
  24.  
  25.   *mangle  
  26.  
  27.   :PREROUTING ACCEPT [658:32445]  
  28.  
  29.   :INPUT ACCEPT [658:32445]  
  30.  
  31.   :FORWARD ACCEPT [0:0]  
  32.  
  33.   :OUTPUT ACCEPT [891:68234]  
  34.  
  35.   :POSTROUTING ACCEPT [891:68234]  
  36.  
  37.   COMMIT  
  38.  
  39.   # Completed on Wed Apr 24 10:19:55 2002  
  40.  
  41.   # Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:55 2002  
  42.  
  43.   *nat  
  44.  
  45.   :PREROUTING ACCEPT [1:229]  
  46.  
  47.   :POSTROUTING ACCEPT [3:450]  
  48.  
  49.   :OUTPUT ACCEPT [3:450]  
  50.  
  51.   -A POSTROUTING -o eth0 -j SNAT --to-source 195.233.192.1  
  52.  
  53.   COMMIT  
  54.  
  55.   # Completed on Wed Apr 24 10:19:55 2002  
  56.  

  每个命令前都有包和字节计数器,这说明使用了-c参数。除了有计数器,其他的都和普通的脚本一样。现在的问题是怎么把输出保存到文件中。非常简单,既然使用linux,你应该早就知道了,用重定向啊:

  iptables-save -c > /etc/iptables-save

  这就会把规则集保存到/etc/iptables-save中,而且还有计数器。

【编辑推荐】

iptables内核配置

Iptables相关命令说明

Iptables相关命令

上一篇:SQL Server 2008中的代码安全:非对称密钥加密

下一篇:路由器基础操作及配置

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
2009 IBM动态架构新动力...
通过 XML 进行内容发布
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...