|
-Z, --zero
重置计数器。但有时你想在重置计数器前知道它们的值。你可以同时使用 '-L' 和 '-Z' 命令, 读计数器的同时重置它们。不幸的是, 假如你这样做, 你不能只操作一个链, 你不得不列表和清零所有的链。
-N, --new-chain
以给定的名字创建一条新的user defined链。不能与已有链同名。
-X, --delete-chain
删除链必须满足两个条件: 它们是空的,并且不是任何规则的目标. 但你不能删除3个内置链中的任何一个。
-P, --policy
改变内置链政策。
-M, --masquerading
允许观察当前IP伪装的连接(与-L一起)。或者设置内核IP 伪装的参数(与 -S 一起)。
-S, --set tcp tcpfin udp
设置伪装的超时值,'-S' 后跟三个以秒表示的超时值: TCP sessions, FIN 包到后的 TCP sessions, 和对于 UDP 包的。假如你不想改变这些值, 给个 '0' 值即可。
默认值在 '/usr/include/net/ip_masp.h' 文件中, 目前分别是 15分, 2分和 5分。仅允许和 -M 一起使用。
-C, -- check
有时你想知道一个确定的包进入机器后会发生什么事情, 比如调试防火链时。ipchains 的 '-C' 命令提供与核心检查真实包完全相同的程序来让你做这件事。
你可以指定让哪个链来检测包, 把链的名字放在 '-C' 参数后即可。鉴于核心总是从 input, output 或 forward 链开始, 特许你从需要测试的链开始。
包的细节用与设置防火墙规则相同的语法设定。 在个别时, 包的协议('-p'), 源地址('-s'), 目的地址('-d'), 和接口('-i') 必须有。假如协议是 TCP 或 UDP, 那么必须指定一个源地址和一个目的端口, 对于 ICMP 协议必须指定类型和代码。(除非使用了 '-f' 标志指定了一个片段规则, 在那种情况下这些选项是不合法的).
假如协议是 TCP (并且没有 '-f' 标志), 可以使用 '-y' 标志设置包的 SYN 位。
这有一个例子, 测试一个 TCP SYN 包, 它从 192.168.1.1 端口 60000 到 192.168.1.2 www 端口, 进入 eth0 接口, 进入 'input' 链. (这是一个与 WWW 建立连接的典型例子)
# ipchains -C input -p tcp -y -i eth0 -s 192.168.1.1 60000 -d 192.168.1.2 www
packet accepted
#
-h, --help
帮助。
-p, --protocol[!] protocol
用 '-p' 来指定协议。协议可以用编号(假如你知道 IP 的数字化协议值)或名字'TCP', 'UDP', 'ICMP',’ALL’(0等价与ALL),大小写无关, 'tcp' 与 'TCP' 一样。协议名前面可以加前缀 '!',来否定它,比如: ' -p ! TCP'。
-s, --source [!] address[/mask] [!][port[:port]]
有四种方法指定源头(-s)和目的(-d) IP 地址。最常用的方法是使用全称,比如 'localhost' 或 'www.linuxhq.com'。第二种方法是指定 IP 地址,如 '127.0.0.1'。第三种和第四种方法是指定 IP 地址集, 比如 '199.95.207.0/24' '199.95.207.0/255.255.255.0'。这两种方式都指定了从 192.95.207.0 到 192.95.207.255 的所有 IP 地址;'/'后的数字表示 IP 地址的哪部分(或'位')被指定。默认是 '/32' 或 '255.255.255.255' (与所有 IP 地址匹配)。完全指定所有 IP 地址用'/0'。对于特殊的 TCP 和 UDP 协议, 还有额外的参数可以指定,即它们的端口号或端口的范围。范围用 ':' 表示,比如 '6000:6010',它包含从6000到6010的11个端口,如果没有下限,默认是0。如果没有上限,默认是 65535。 所以指定1024以下端口来的 TCP 连接,表示为 '-p TCP -s 0.0.0.0/0 :1023'。 端口号也可以用名字指定,如 'WWW'。端口指定也可以用'!'参数来否定它。ICMP 也可以有参数,但是它没有端口(ICMP 有类型和代码),它们有不同的含义。可以在'-s'参数后放它们的 ICMP 名字来指定(使用 ipchains -h icmp 来列出这些名字)。或使用 ICMP 类型和代码的数字编号。类型跟在 '-s' 后。代码跟在 '-d' 后。ICMP 名相当长: 你只需输入足够长的字母能区分它们即可。
注意:目前, ICMP 名的前面不能用'!'。等价于--src。
共4页: 上一页 [1] 2 [3] [4] 下一页
|
