在上一篇部落格的描述中我們一直在提規則,可是沒有細說,現在說說它。
先說說規則的概念,然後再通俗的解釋它。
規則:根據指定的比對條件來嘗試比對每個流經此處的封包,一旦比對成功,則由規則後面指定的處理動作進行處理;
那麼我們來通俗的解釋一下什麼是iptables的規則,之前打過一個比方,每條”鍊”都是一個”關卡”,每個通過這個”關卡”的封包都要比對這個關卡上的規則,如果比對,則對封包進行對應的處理,比如說,你我二人此刻就好像兩個”封包”,你我二人此刻都要入關,可是城主有命,隻有器宇軒昂的人才能入關,不符合此條件的人不能入關,于是守關将士按照城主制定的”規則”,開始打量你我二人,最終,你順利入關了,而我已被拒之門外,因為你符合”器宇軒昂”的标準,是以把你”放行”了,而我不符合标準,是以沒有被放行,其實,”器宇軒昂”就是一種”比對條件”,”放行”就是一種”動作”,”比對條件”與”動作”組成了規則。
了解了規則的概念,那我們來聊聊規則的組成部分,此處隻是大概的将規則的結構列出,後面會單獨對規則進行總結。
規則由比對條件和處理動作組成。
比對條件分為基本比對條件與擴充比對條件
基本比對條件
源位址Source IP,目标位址 Destination IP
上述内容都可以作為基本比對條件。
擴充比對條件
除了上述的條件可以用于比對,還有很多其他的條件可以用于比對,這些條件泛稱為擴充條件,這些擴充條件其實也是netfilter中的一部分,隻是以子產品的形式存在,如果想要使用這些條件,則需要依賴對應的擴充子產品。
源端口Source Port, 目标端口Destination Port
上述内容都可以作為擴充比對條件
處理動作在iptables中被稱為target(這樣說并不準确,我們暫且這樣稱呼),動作也可以分為基本動作和擴充動作。
此處列出四個常用的動作:
案例示範:
-m:使用指定子產品
注:這裡必須使用UTC時間(目前時間-8h)
預設情況下如果本機無法ping别人 、别人也無法ping自己
注:這裡不能實作精确的限制
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)