00000009.htm

一份很好的linux入门资料

   only send a single packet).
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Then&nbsp;we&nbsp;append&nbsp;(-A)&nbsp;to&nbsp;the&nbsp;`INPUT'&nbsp;chain,&nbsp;a&nbsp;rule&nbsp;specifying&nbsp;that&nbsp;for
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;packets&nbsp;from&nbsp;127.0.0.1&nbsp;(`-s&nbsp;127.0.0.1')&nbsp;with&nbsp;protocol&nbsp;ICMP&nbsp;(`-p&nbsp;icmp')&nbsp;we
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;should&nbsp;jump&nbsp;to&nbsp;DROP&nbsp;(`-j&nbsp;DROP').
&nbsp;<BR>
Lin&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;here&nbsp;a&nbsp;&nbsp;<BR>
Ma
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Then&nbsp;we&nbsp;test&nbsp;our&nbsp;rule,&nbsp;using&nbsp;the&nbsp;second&nbsp;ping.&nbsp;There&nbsp;will&nbsp;be&nbsp;a&nbsp;pause&nbsp;&nbsp;<BR>
before
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;the&nbsp;program&nbsp;gives&nbsp;up&nbsp;waiting&nbsp;for&nbsp;a&nbsp;response&nbsp;that&nbsp;will&nbsp;never&nbsp;come.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;We&nbsp;can&nbsp;delete&nbsp;the&nbsp;rule&nbsp;in&nbsp;one&nbsp;of&nbsp;two&nbsp;ways.&nbsp;Firstly,&nbsp;since&nbsp;we&nbsp;know&nbsp;that&nbsp;it
&nbsp;<BR>
3.1is&nbsp;the&nbsp;only&nbsp;rule&nbsp;in&nbsp;the&nbsp;input&nbsp;chain,&nbsp;we&nbsp;can&nbsp;use&nbsp;a&nbsp;numbered&nbsp;delete,&nbsp;as&nbsp;in:
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;iptables&nbsp;-D&nbsp;INPUT&nbsp;1
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;To&nbsp;delete&nbsp;rule&nbsp;number&nbsp;1&nbsp;in&nbsp;the&nbsp;INPUT&nbsp;chain.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;second&nbsp;way&nbsp;is&nbsp;to&nbsp;mirror&nbsp;the&nbsp;-A&nbsp;command,&nbsp;but&nbsp;replacing&nbsp;the&nbsp;-A&nbsp;with&nbsp;-D.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;This&nbsp;is&nbsp;useful&nbsp;when&nbsp;you&nbsp;have&nbsp;a&nbsp;complex&nbsp;chain&nbsp;of&nbsp;rules&nbsp;and&nbsp;you&nbsp;don't&nbsp;want,
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;to&nbsp;have&nbsp;to&nbsp;count&nbsp;them&nbsp;to&nbsp;figure&nbsp;out&nbsp;that&nbsp;it's&nbsp;rule&nbsp;37&nbsp;that&nbsp;you&nbsp;want&nbsp;to&nbsp;&nbsp;<BR>
get
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;rid&nbsp;of.&nbsp;In&nbsp;this&nbsp;case,&nbsp;we&nbsp;would&nbsp;use:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;e
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;iptables&nbsp;-D&nbsp;INPUT&nbsp;-s&nbsp;127.0.0.1&nbsp;-p&nbsp;icmp&nbsp;-j&nbsp;DROP&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
on
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;syntax&nbsp;of&nbsp;-D&nbsp;must&nbsp;have&nbsp;exactly&nbsp;the&nbsp;same&nbsp;options&nbsp;as&nbsp;the&nbsp;-A&nbsp;(or&nbsp;-I&nbsp;or
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;-R)&nbsp;command.&nbsp;If&nbsp;there&nbsp;are&nbsp;multiple&nbsp;identical&nbsp;rules&nbsp;in&nbsp;the&nbsp;same&nbsp;chain,&nbsp;&nbsp;<BR>
only
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;the&nbsp;first&nbsp;will&nbsp;be&nbsp;deleted.
&nbsp;<BR>

&nbsp;<BR>
7.3&nbsp;Filtering&nbsp;Specifications
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;We&nbsp;have&nbsp;seen&nbsp;the&nbsp;use&nbsp;of&nbsp;`-p'&nbsp;to&nbsp;specify&nbsp;protocol,&nbsp;and&nbsp;`-s'&nbsp;to&nbsp;specify&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
n
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;source&nbsp;address,&nbsp;but&nbsp;there&nbsp;are&nbsp;other&nbsp;options&nbsp;we&nbsp;can&nbsp;use&nbsp;to&nbsp;specify&nbsp;packet
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;characteristics.&nbsp;What&nbsp;follows&nbsp;is&nbsp;an&nbsp;exhaustive&nbsp;compendium.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;Specifying&nbsp;Source&nbsp;and&nbsp;Destination&nbsp;IP&nbsp;Addresses
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Source&nbsp;(`-s',&nbsp;`--source'&nbsp;or&nbsp;`--src')&nbsp;and&nbsp;destination&nbsp;(`-d',
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`--destination'&nbsp;or&nbsp;`--dst')&nbsp;IP&nbsp;addresses&nbsp;can&nbsp;be&nbsp;specified&nbsp;in&nbsp;four&nbsp;ways.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;most&nbsp;common&nbsp;way&nbsp;is&nbsp;to&nbsp;use&nbsp;the&nbsp;full&nbsp;name,&nbsp;such&nbsp;as&nbsp;`localhost'&nbsp;or
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`www.linuxhq.com'.&nbsp;The&nbsp;second&nbsp;way&nbsp;is&nbsp;to&nbsp;specify&nbsp;the&nbsp;IP&nbsp;address&nbsp;such&nbsp;as
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`127.0.0.1'.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;third&nbsp;and&nbsp;fourth&nbsp;ways&nbsp;allow&nbsp;specification&nbsp;of&nbsp;a&nbsp;group&nbsp;of&nbsp;IP&nbsp;addresses,
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;such&nbsp;as&nbsp;`199.95.207.0/24'&nbsp;or&nbsp;`199.95.207.0/255.255.255.0'.&nbsp;These&nbsp;both
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;specify&nbsp;any&nbsp;IP&nbsp;address&nbsp;from&nbsp;199.95.207.0&nbsp;to&nbsp;199.95.207.255&nbsp;inclusive;&nbsp;&nbsp;<BR>
the
&nbsp;<BR>
Lindigits&nbsp;after&nbsp;the&nbsp;`/'&nbsp;tell&nbsp;which&nbsp;parts&nbsp;of&nbsp;the&nbsp;IP&nbsp;address&nbsp;are&nbsp;significant.a&nbsp;&nbsp;<BR>
Ma
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`/32'&nbsp;or&nbsp;`/255.255.255.255'&nbsp;is&nbsp;the&nbsp;default&nbsp;(match&nbsp;all&nbsp;of&nbsp;the&nbsp;IP&nbsp;address).
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;To&nbsp;specify&nbsp;any&nbsp;IP&nbsp;address&nbsp;at&nbsp;all&nbsp;`/0'&nbsp;can&nbsp;be&nbsp;used,&nbsp;like&nbsp;so:
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[&nbsp;NOTE:&nbsp;`-s&nbsp;0/0'&nbsp;is&nbsp;redundant&nbsp;here.&nbsp;]
&nbsp;<BR>
3.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;iptables&nbsp;-A&nbsp;INPUT&nbsp;-s&nbsp;0/0&nbsp;-j&nbsp;DROP
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;This&nbsp;is&nbsp;rarely&nbsp;used,&nbsp;as&nbsp;the&nbsp;effect&nbsp;above&nbsp;is&nbsp;the&nbsp;same&nbsp;as&nbsp;not&nbsp;specifying&nbsp;&nbsp;<BR>
the
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;`-s'&nbsp;option&nbsp;at&nbsp;all.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;Specifying&nbsp;Inversion
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Many&nbsp;flags,&nbsp;including&nbsp;the&nbsp;`-s'&nbsp;(or&nbsp;`--source')&nbsp;and&nbsp;`-d'&nbsp;(`--destination')
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;flags&nbsp;can&nbsp;have&nbsp;their&nbsp;arguments&nbsp;preceded&nbsp;by&nbsp;`!'&nbsp;(pronounced&nbsp;`not')&nbsp;to&nbsp;&nbsp;<BR>
match
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;addresses&nbsp;NOT&nbsp;equal&nbsp;to&nbsp;the&nbsp;ones&nbsp;given.&nbsp;For&nbsp;example.&nbsp;`-s&nbsp;!&nbsp;localhost'&nbsp;&nbsp;&nbsp;&nbsp;e
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;matches&nbsp;any&nbsp;packet&nbsp;not&nbsp;coming&nbsp;from&nbsp;localhost.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
on
&nbsp;<BR>
&nbsp;&nbsp;Specifying&nbsp;Protocol
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;protocol&nbsp;can&nbsp;be&nbsp;specified&nbsp;with&nbsp;the&nbsp;`-p'&nbsp;(or&nbsp;`--protocol')&nbsp;flag.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Protocol&nbsp;can&nbsp;be&nbsp;a&nbsp;number&nbsp;(if&nbsp;you&nbsp;know&nbsp;the&nbsp;numeric&nbsp;protocol&nbsp;values&nbsp;for&nbsp;IP)
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;or&nbsp;a&nbsp;name&nbsp;for&nbsp;the&nbsp;special&nbsp;cases&nbsp;of&nbsp;`TCP',&nbsp;`UDP'&nbsp;or&nbsp;`ICMP'.&nbsp;Case&nbsp;doesn't
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;matter,&nbsp;so&nbsp;`tcp'&nbsp;works&nbsp;as&nbsp;well&nbsp;as&nbsp;`TCP'.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;protocol&nbsp;name&nbsp;can&nbsp;be&nbsp;prefixed&nbsp;by&nbsp;a&nbsp;`!',&nbsp;to&nbsp;invert&nbsp;it,&nbsp;such&nbsp;as&nbsp;`-p&nbsp;!
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;TCP'&nbsp;to&nbsp;specify&nbsp;packets&nbsp;which&nbsp;are&nbsp;not&nbsp;TCP.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<BR>
n
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;Specifying&nbsp;an&nbsp;Interface
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;The&nbsp;`-i'&nbsp;(or&nbsp;`--in-interface')&nbsp;and&nbsp;`-o'&nbsp;(or&nbsp;`--out-interface')&nbsp;options
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;specify&nbsp;the&nbsp;name&nbsp;of&nbsp;an&nbsp;interface&nbsp;to&nbsp;match.&nbsp;An&nbsp;interface&nbsp;is&nbsp;the&nbsp;physical
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;device&nbsp;the&nbsp;packet&nbsp;came&nbsp;in&nbsp;on&nbsp;(`-i')&nbsp;or&nbsp;is&nbsp;going&nbsp;out&nbsp;on&nbsp;(`-o').&nbsp;You&nbsp;can&nbsp;&nbsp;<BR>
use
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;the&nbsp;ifconfig&nbsp;command&nbsp;to&nbsp;list&nbsp;the&nbsp;interfaces&nbsp;which&nbsp;are&nbsp;`up'&nbsp;(i.e.,&nbsp;working
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;at&nbsp;the&nbsp;moment).
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;Packets&nbsp;traversing&nbsp;the&nbsp;INPUT&nbsp;chain&nbsp;don't&nbsp;have&nbsp;an&nbsp;output&nbsp;interface,&nbsp;so&nbsp;any
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;rule&nbsp;using&nbsp;`-o'&nbsp;in&nbsp;this&nbsp;chain&nbsp;will&nbsp;never&nbsp;match.&nbsp;Similarly,&nbsp;packets
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;traversing&nbsp;the&nbsp;OUTPUT&nbsp;chain&nbsp;don't&nbsp;have&nbsp;an&nbsp;input&nbsp;interface,&nbsp;so&nbsp;any&nbsp;rule
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;using&nbsp;`-i'&nbsp;in&nbsp;this&nbsp;chain&nbsp;will&nbsp;never&nbsp;match.
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;LinOnly&nbsp;packets&nbsp;traversing&nbsp;the&nbsp;FORWARD&nbsp;chain&nbsp;have&nbsp;both&nbsp;an&nbsp;input&nbsp;and&nbsp;output&nbsp;&nbsp;<BR>
a&nbsp;Ma
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;interface.
&nbsp;<BR>

&nbsp;<BR>
&nbsp;&nbsp;&nbsp;It&nbsp;is&nbsp;perfectly&nbsp;legal&nbsp;to&nbsp;specify&nbsp;an&nbsp;interface&nbsp;that&nbsp;currently&nbsp;does&nbsp;not
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;exist;&nbsp;the&nbsp;rule&nbsp;will&nbsp;not&nbsp;match&nbsp;anything&nbsp;until&nbsp;the&nbsp;interface&nbsp;comes&nbsp;up.&nbsp;&nbsp;<BR>
This
&nbsp;<BR>