iptables linux-man手册翻译

原作者:gfree.wind@gmail.com
原地址:http://linux.die.net/man/8/iptables

正文

iptables - IPV4 包过滤和NAT管理工具

概要

iptables [-t table] -[AD] chain rule-specification [options]
iptables [-t table] -I chain [rulenum] rule-specification [options]
iptables [-t table] -R chain rulenum rule-specification [options]
iptables [-t table] -D chain rulenum [options]
iptables [-t table] -[LFZ] [chain] [options]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target [options]
iptables [-t table] -E old-chain-name new-chain-name

翻译说明:
table:表
chain:链
rule:规则
option:选项
target:目标

描述

iptables是用于建立,维护,和检查linux内核中的IP包过滤规则表的。这些表各有不同。每个表都包含一些内建的链,还可能包含一些用户定义的链。

每一个链都是可以匹配一些包的规则的链表。每一个规则指定了对于所匹配的包要进行的动作。这个动作被称为目标,这个目标可以是跳转到相同表中的用户自定义链。

目标

一个防火墙规则指明了对于一个包或者目标的条件。如果这个包不匹配这个条件,那么就检查这个链中的下一条规则。如果这个包匹配了条件,那么下一条规则就由目标的值来指定,可以是用户自定义的链的名字,或者是下列特殊值:ACCEPT接受,DROP丢弃,QUEUE排队,或者RETURN返回。

翻译说明:
ACCEPT:接受
DROP:丢弃
QUEUE:排队
RETURN:返回

ACCEPT接受意思是让这个包通过,DROP丢弃的意思是丢弃这个包,QUEUE排队意思是将这个包传给用户空间。(一个用户空间进程由不同的特定队列处理程序来决定怎样来接受这样的包。2.4.x和2.6.x到2.6.13版的内核包含了"ip_queue"这个处理程序。2.6.14及以后版本的内核包含了"nfnetlink_queue"队列处理程序。这种情况下的目标为QUEUE的包会被发送到队列号位'0'的队列。请看后文中NFQUUE目标的描述)RETURN返回意味着停止遍历这个链,从前一个(调用的)链继续下一条规则。如果到了一个内建链的末尾,或者匹配了一个目标为RETURN的内建链规则,那么就有这个链指定的目标来决定这个包的命运。

当前一共有3个独立的表(任何一个现存的表都依赖于内核的配置选项和加载的模块)

-t, --table table

-D, --delete chain rule-specification

-D, --delete chain rulenum
-I,--insert chain [rulenum] rule-specification-L,--list [chain]-F,--flush [chain]-Z,--zero [chain]-N,--new-chain chain-X,--delete-chain [chain]-P,--policy chain target-h,

参数

下面的参数组成了规则的细节(被用于add,delete,insert,replace和append命令)

-p,--protocol [!]protocol

-s,--source [!]address[/mask]

-d, --destination [!] address[/mask]
-j,--jump target
-g,--goto chain
-i,--in-interface [!]name-o,--out-interface [!]name[!] -f, --fragment-c, --set-counters PKTS BYTES

其他选项

可以指定下面的附加选项
-v, --verbose
-n, --numeric-x, --exact--line-numbers--modprobe=command
09-23 20:41
查看更多