Iptables - мережевий екран (netfilter firewall)/Команди
Матеріал з docs.linux.org.ua — збірника документації з Unix/Linux українською мовою.
Команди
Нижче наводиться список команд і правил їх використання. З допомогою команд ми повідомляємо iptables що нам здається зробити. Зазвичай передбачається з двох дій -- додавання нового правила в ланцюжок чи видалення існуючого правила із творців тієї чи іншого таблиці. Далі наведено команди, які використовуються у iptables.
Таблиця 6-2. Команди
| Команда | -A, --append |
| Приклад | iptables -A INPUT ... |
| Опис | Додає нове правило насамкінець заданої ланцюжка. |
| Команда | -D, --delete |
| Приклад | iptables -D INPUT --dport 80 -j DROP, iptables -D INPUT 1 |
| Опис | Видалення правила з ланцюжка. Команда має дві формату записи, перший -- коли задається критерій перевірки опцією -D (див. перший приклад), другий -- порядковий номер правила. Якщо задається критерій порівняння, то видаляється правило, що має у собі цей критерій, якщо задається номер правила, він віддалене правило з заданим номером. Рахунок правив у ланцюжках починається із першого. |
| Команда | -R, --replace |
| Приклад | iptables -R INPUT 1 -s 192.168.0.1 -j DROP |
| Опис | У цю команду заміняє одне правило іншим. Здебільшого вона використовується під час налагодження нових правил. |
| Команда | -I, --insert |
| Приклад | iptables -I INPUT 1 --dport 80 -j ACCEPT |
| Опис | Вставляє нове правило в ланцюжок. Кількість, таке за ім'ям ланцюжка вказує номер правила, якого потрібно вставити нове правило, інакше кажучи число задає номер для вставляемого правила. У прикладі вище, вказується, що це правило має бути 1-му в ланцюжку INPUT. |
| Команда | -L, --list |
| Приклад | iptables -L INPUT |
| Опис | Висновок списку правив у заданої ланцюжку, у цьому прикладі передбачається висновок правил з ланцюжка INPUT. Якщо ім'я ланцюжка не вказується, то виводиться список правил всім ланцюжків. Формат виведення залежить від наявності додаткових ключів у команді, наприклад -n, -v, тощо. |
| Команда | -F, --flush |
| Приклад | iptables -F INPUT |
| Опис | Скидання (видалення) всіх правил з заданої ланцюжка (таблиці). Якщо ім'я ланцюжка і таблиці не вказується, то видаляються всіх правил, переважають у всіх ланцюжках. (Хочеться від себе додати, що й не зазначена таблиця ключем -t (--table), то очищення ланцюжків роблять лише в таблиці filter, прим. перши. ) |
| Команда | -Z, --zero |
| Приклад | iptables -Z INPUT |
| Опис | Обнуление всіх лічильників в заданої ланцюжку. Якщо ім'я ланцюжка не вказується, то розуміються всі ланцюжка. З використанням ключа -v що з командою -L, виведення буде подано і стан лічильників пакетів, які потрапили під дію кожного правила. Допускається спільного використання команд -L і -Z. І тут видасть спочатку список правил зі лічильниками, та був станеться обнуління лічильників. |
| Команда | -N, --new-chain |
| Приклад | iptables -N allowed |
| Опис | Складається нова ланцюжок з заданим ім'ям у заданої таблиці У вище наведеному прикладі створюється нова ланцюжок безпосередньо з ім'ям allowed. Ім'я ланцюжка має бути унікальним й не збігатися з зарезервованими іменами ланцюжків і безкомпромісність дій (такі як DROP, REJECT тощо.) |
| Команда | -X, --delete-chain |
| Приклад | iptables -X allowed |
| Опис | Видалення заданої ланцюжка з заданої таблиці. Удаляемая ланцюжок має мати правив і повинно бути посилань з деяких інших ланцюжків на удаляемую ланцюжок. Якщо ім'я ланцюжка немає, то будуть віддалені все ланцюжка заданої таблиці крім вбудованих. |
| Команда | -P, --policy |
| Приклад | iptables -P INPUT DROP |
| Опис | Задает політику по-умолчанию для заданої ланцюжка. Політика по-умолчанию визначає дію, що застосовується до пакетів не які потрапили під дію жодного з правив у ланцюжку. Як політики щодо вмовчанням допускається використовувати DROP і ACCEPT. |
| Команда | -E, --rename-chain |
| Приклад | iptables -E allowed disallowed |
| Опис | Команда -E виконує перейменування користувальницької ланцюжка. У прикладі ланцюжок allowed буде перейменовано на ланцюжок disallowed. Ці перейменування не змінюють порядок роботи, а носять лише косметичний характер. |
Команда повинна бути вказана завжди. Список доступних команд можна переглянути з допомогою команди iptables -h чи, що те ж саме, iptables --help. Деякі команди можна використовувати що з додатковими ключами. Нижче наводиться список додаткових ключів і описується результати їхньої дії. У цьому зауважте, що саме не наводиться додаткових ключів, що використовуються при побудові критеріїв (matches) чи дій (targets). Ці опції ми будемо обговорювати далі.
Таблиця 6-3. Додаткові ключі
| Ключ | -v, --verbose |
| Команди, із якими використовується | --list, --append, --insert, --delete, --replace |
| Опис | Використовується підвищення інформативності виведення і, зазвичай, використовується що з командою --list. Що стосується використання з командою --list, в висновок цієї команди включаються як і ім'я інтерфейсу, лічильники пакетів і байт кожному за правила. Формат виведення лічильників передбачає виведення крім цифр числа що й символьні множники K (x1000), M (x1,000,000) і G (x1,000,000,000). А, щоб змусити команду --list виводити повне число (без вживання множників) потрібно застосовувати ключ -x, який описаний нижче. Якщо ключ -v, --verbose використовується з командами --append, --insert, --delete чи --replace, він виведений докладний звіт про виробленої операції. |
| Ключ | -x, --exact |
| Команди, із якими використовується | --list |
| Опис | Всім чисел в вихідних даних виводяться їх точні значення без округлення і використання множників K, M, G. Цей ключ використовується тільки з командою --list і застосуємо коїться з іншими командами. |
| Ключ | -n, --numeric |
| Команди, із якими використовується | --list |
| Опис | Змушує iptables виводити IP-адреси і номери портів в числовому вигляді запобігаючи спроби перетворити в символічні імена. Цей ключ використовується тільки з командою --list. |
| Ключ | --line-numbers |
| Команди, із якими використовується | --list |
| Опис | Ключ --line-numbers включає режим виведення номерів рядків при відображенні списку правил командою --list. Номер рядки відповідає позиції правила в ланцюжку. Цей ключ використовується тільки з командою --list. |
| Ключ | -з, --set-counters |
| Команди, із якими використовується | --insert, --append, --replace |
| Опис | Цей ключ використовується для установки початкового значення лічильників пакетів і байт в заданий значення під час створення нового правила. Наприклад, ключ --set-counters 20 4000 встановить лічильник пакетів = 20, а лічильник байт = 4000. |
| Ключ | --modprobe |
| Команди, із якими використовується | Усі |
| Опис | Ключ --modprobe визначає команду завантаження модуля ядра. Цей ключ можна використовувати у разі, коли модулі ядра перебуває поза шляху пошуку (search path). Цей ключ можна використовувати з кожного командою. |
