ACCEPT - Разрешает передачу пакета через брандмауэр.
DROP - Предписывает удалить пакет.
QUEUE - Предписывает передать пакет в область пользовательских процессов для обработки.
RETURN - В наборе правил, определенном пользователем, данное ключевое слово предписывает вернуться в набор правил, из которого произошел вызов. В одном из трех стандартных наборов правил ядра RETURN предписывает прервать обработку цепочки и воспользоваться стандартным правилом для этой цепочки.
Команды iptables создают фильтры, применяемые в зависимости от протокола, адресов источника и адресата либо сетевого интерфейса, через который поступил пакет. Этой цели служат многочисленные ключи командной строки. Ниже описаны основные ключи iptables для создания фильтров:
-р протокол - Определяет протокол, для которого справедливо правило. В качестве значения аргумента протокол может выступать любой номер из файла /etc/ protocols либо одно из ключевых слов: tcp, udp, icmp.
-s адрес[/маска] - Определяет адрес источника пакетов, для которых справедливо правило. адрес может быть представлен именем узла, именем сети либо адресом IP.
--spor t [порт[\порт]] - Определяет исходный порт пакетов, для которых справедливо правило. порт может быть представлен именем или номером из файла /etc/services. Синтаксис порт: порт позволяет определить диапазон портов. Если значение порта не указано, правило применяется для всех исходных портов.
-d адрес[/маска] - Определяет конечный адрес пакетов, для которых справдливо правило. адрес может быть представлен именем узла, именем сети либо адресом IP.
--dport [порт[:порт] - Определяет целевой порт пакетов, для которых справедливо правило. Правило фильтрует весь трафик, проходящий через указанный порт, порт определяется по правилам, описанным для ключа --sport.
--icmp-type тип - Определяет тип ICMP, для которого справедливо правило, тип может быть представлен любым именем или номером типа сообщения ICMP.
-i имя - Определяет имя входящего сетевого интерфейса, для которого справед- ливо правило. Правило действует только на пакеты, полученные через этот интерфейс. Символ + в конце имени позволяет задавать интерфейсы по маске (eth+ соответствует всем Ethernet-интерфейсам, имена которых начинаются с eth).
-о имя - Определяет имя исходящего сетевого интерфейса, для которого справедливо правило. Правило действует только на пакеты, передаваемые через этот интерфейс. Символ + в конце имени позволяет задавать интерфейсы по маске (eth+ соответствует всем Ethernet-интерфейсам, имена которых начинаются с eth).
-f - Указывает, что правило относится только ко второму и последующим фрагментам пакета, разбитого на несколько частей.
- << Назад
- Вперёд
