Descripción general Utilice iptables -ADC para especificar las reglas de la cadena, -A agregue -D elimine -C Modifique iptables – [RI] regla de la cadena número especificación de la regla [opción] Use iptables – RI Especifique iptables -D regla de la cadena por orden de las reglas Num [opción] elimina la regla especificada iptables - [LFZ] [cadena] [opción] con iptables -LFZ nombre de cadena [opciones] iptables - [NX] cadena con -NX especifica la cadena iptables -P destino de cadena [opciones] especifica el valor predeterminado para la cadena Target iptables -E nombre de cadena antiguo nombre-cadena-nuevo-E nombre de cadena antiguo nombre de cadena nuevo reemplaza nombre de cadena antiguo con nombre de cadena nuevo Descripción Iptalbes se utiliza para configurar, mantener y verificar el filtrado de paquetes IP del kernel de Linux. Regular Se pueden definir diferentes tablas, cada una con varias cadenas internas, y también pueden contener cadenas definidas por el usuario. Cada cadena es una lista de reglas que coinciden con los paquetes correspondientes: cada regla especifica cómo se debe hacer coincidir el paquete. Esto se denomina "rsquo; target ’ (target), y también puede saltar a una cadena definida por el usuario en la misma tabla. Las reglas del firewall TARGETS especifican las características del paquete que se está verificando y el destino. Si el paquete no coincide, se enviará a la siguiente verificación de la regla en la cadena; si coincide, la siguiente regla está determinada por el valor objetivo. El valor objetivo puede ser un nombre de cadena definido por el usuario o un valor especial, como ACCEPT [pasar ], DROP [Delete], QUEUE [Queue] o RETURN [Return]. ACEPTAR significa dejar pasar este paquete. DROP significa descartar este paquete. QUEUE significa pasar este paquete al espacio del usuario. RETURN significa detener la coincidencia de esta cadena y se reinicia la regla de la cadena anterior. Si se alcanza el final de una cadena incorporada, o si la regla para la cadena incorporada es VOLVER, el destino del paquete estará determinado por el objetivo especificado por los criterios de encadenamiento. Actualmente, TABLES tiene tres tablas (la tabla que es la tabla actual depende de las opciones de configuración del kernel y el módulo actual). -t tabla Esta opción especifica la tabla de paquetes coincidentes que debe manipular el comando. Si el núcleo está configurado para cargar automáticamente el módulo, entonces si el módulo no está cargado, (sistema) intentará cargar el módulo apropiado (para la tabla). Estas tablas son las siguientes: el filtro, que es la tabla predeterminada, contiene la cadena integrada INPUT (procesando paquetes entrantes), FORWORD (procesando paquetes pasados) y OUTPUT (procesando paquetes generados localmente). Nat, esta tabla se consulta cuando encuentra un paquete que genera una nueva conexión. Consta de tres cadenas integradas: PREROUTING (modificación de paquetes entrantes), OUTPUT (paquete local antes de la modificación de rutas), POSTROUTING (lista para modificación) Paquete). Mangle Esta tabla se utiliza para modificar el paquete especificado. Tiene dos reglas integradas: PREROUTING (el paquete que se ingresó antes de que se modificara la ruta) y OUTPUT (el paquete que se localizó antes de que se modificara la ruta). OPCIONES Estas opciones que pueden ser reconocidas por iptables pueden distinguir entre diferentes categorías. COMANDOS Estas opciones especifican para realizar acciones explícitas: si no hay otras reglas bajo la línea de comandos, la línea solo puede especificar una opción. Para los comandos de formato largo y los nombres de las opciones, la longitud de la letra utilizada es siempre que iptables pueda distinguir el comando de otras opciones. Es -A -append agrega una o más reglas al final de la cadena seleccionada. Cuando la fuente (dirección) y /y el destino (dirección) se convierten a varias direcciones, esta regla se agrega después de todas las direcciones posibles (combinaciones). -D -delete elimina una o más reglas de la cadena seleccionada. Hay dos formas de hacer este comando: puede especificar la regla eliminada como el número de secuencia en la cadena (el primer número de secuencia es 1), o especificar la regla para que coincida. -R -reemplazar reemplaza una regla de la cadena seleccionada. Si la fuente (dirección) y /y el destino (dirección) se convierten a varias direcciones, el comando fallará. El número de la regla comienza desde 1. -I-inserción Inserta una o más reglas en la cadena seleccionada según el número de regla dado. Por lo tanto, si el número de la regla es 1, la regla se insertará en la cabeza de la cadena. Este también es el método predeterminado cuando no se especifica un número de regla. -L -list muestra todas las reglas para la cadena seleccionada. Si no se selecciona ninguna cadena, se mostrarán todas las cadenas. También se puede usar con la opción z, cuando la cadena se enumera automáticamente y se pone a cero. La salida exacta se ve afectada por otros parámetros dados. -F -flush borra la cadena seleccionada. Esto es equivalente a eliminar todas las reglas una por una. – Z -zero borra los contadores de todas las cadenas y bytes. Se puede utilizar con -L para ver el contador antes de vaciarlo, ver más arriba. -N -new-chain crea una nueva cadena definida por el usuario basada en el nombre dado. Esto debe asegurar que no haya una cadena con el mismo nombre. -X -delete-chain Elimina la cadena definida por el usuario especificada. No se debe hacer referencia a esta cadena. Si se hace referencia, debe eliminar o reemplazar las reglas asociadas con ella antes de eliminarla. Si no se proporcionan argumentos, este comando intentará eliminar cada cadena no incorporada. -P -policy establece la regla de destino para la cadena. -E -rename-cadena renombra la cadena especificada en función del nombre dado por el usuario. Esto es solo una modificación y no tiene efecto en la estructura de la tabla completa. El parámetro TARGETS da un objetivo legal. Solo las cadenas no definidas por el usuario pueden usar reglas, y tanto las cadenas integradas como las cadenas definidas por el usuario no pueden ser el objetivo de la regla. -h Ayuda. Ayuda. Dé una breve descripción de la sintaxis del comando actual. Parámetros de PARÁMETROS Los siguientes parámetros forman una descripción detallada de las reglas, como los comandos agregar, eliminar, reemplazar, agregar y verificar. -p -protocal [!] reglas de protocolo o protocolos para la inspección de paquetes (para verificar). El protocolo especificado puede ser uno o todos de tcp, udp, icmp o un valor numérico, que representa uno de estos protocolos. Por supuesto, también puede usar el nombre de protocolo definido en /etc /protocol. Agregue "! " delante del nombre del acuerdo para indicar la regla opuesta. El número 0 es equivalente a todos. Todos los protocolos coinciden con todos los protocolos, y esta es la opción predeterminada. Cuando se combina con el comando de verificación, se puede usar todo. -s -source [!] address [/mask] especifica la dirección de origen, que puede ser el nombre del host, el nombre de la red y la dirección IP clara. La descripción de la máscara puede ser una máscara de red o un número claro. En el lado izquierdo de la máscara de red, especifique el número del lado izquierdo de la máscara de red " 1 ″, por lo tanto, el valor de la máscara es 24 igual a 255.255.255.0. Al agregar "! " a la dirección especificada se especifica el segmento de dirección opuesto. La bandera – src es la abreviatura de esta opción. La dirección -d – destination [!] [/mask] especifica la dirección de destino. Para obtener más información, consulte la descripción de la marca -s. La bandera – dst es la abreviatura de esta opción. -j – jump target-j El salto target especifica el objetivo de la regla, es decir, qué se debe hacer si el paquete coincide. El objetivo puede ser una cadena definida por el usuario (no aquella en la que se encuentra la regla), un objetivo integrado dedicado que determina de inmediato el destino del paquete, o una extensión (consulte EXTENSIONES a continuación). Si se ignora esta opción de la regla, el proceso de coincidencia no afectará al paquete, pero el contador de la regla aumentará.