|
当前位置: Home > 防火墙 > 文章
|
|
|
IPCHAINS参数介绍
|
|
文章来源: Internet
文章作者: 未知
发布时间: 2002-04-24
字体:
[大
中
小]
|
|
|
--source-port [!] [port[:port]]
用来分开源端口范围,等价与-sport。
-d,--destination [!] address[/mask] [!] [port[:port]]
指定目标,用法与-s相同。等价于-dst。
--destination-port [!] [port[:port]]
指定目标端口范围,等价于-dport。
--icmp-type [!] typename
允许指定icmp类型(使用 -h icmp 看有效的icmp类型名)。可以方便的在指定目标的后面使用。
-j, --jump target
指向规则的目标,例如,包匹配规则后怎么办。目标可以是一个user defined 链(非本规则所在链),也可以是一个可以立即决定包命运的特定的目标。最简单的情况是不指定目标。这种类型的规则(通常叫记数规则)常用来做某种类型包的简单记数。无论规则匹配与否, 核心将继续检查此链中的下一个的规则。但规则计数器将增加。
-i, --interface [!] name
用 '-i' 参数指定接口名字。接口是包进进出出的物理设备。用于包进入(包通过进入链 )的接口被认为是进入接口, 同样地, 用于包外出(包通过外出链)的接口被认为是外出接口. 用于包中转的接口也被认为是外出接口。
指定一个目前不存在的接口是完全合法的。规则直到此接口工作时才起作用,这种指定是非常有用,对于 PPP 及其类似的连接。作为一个特例, 一个结尾是'+'的接口将适合所有此类接口(无论它们是否工作)。例如:设定一个规则适合所有的 PPP 连接, 可以用 -i ppp+ 来指定接口。此参数忽略时,默认符合所有接口。接口可以使用否定符'!'来匹配不是指定接口来的包。
[!] -f, --fragment
此规则指定fragmented packets的第二个和以后的分块。因为这样的分块没有源和目标端口信息(或 ICMP 类型),所以它不匹配一些指定它的规则。
可以在它前面使用'!',来指定一个不适用于第二个及其后续的片段包的规则。
-b, --bidirectional
双向模式。这个标志使 ipchains 象你输入命令两次一样工作,第二次是把 '-s' 和 '-d' 参数颠倒。
-v, --verbose
详细输出。它显示出对于你的命令, ipchains 是如何响应的. 假如你使用的命令可以影响多个规则, 它是很有用的。
-n, --numeric
数字化输出。IP地址和端口号将以数字格式显示。缺省显示主机名和网络名,和服务名。当DNS不起作用时,此参数及其有用。
-l, --log
对匹配包实行内核纪录,当设置此参数时,Linux内核将通过printk()对于所有匹配包打印一些信息。
-o, --output [maxsize]
拷贝匹配的包到用户空间设备。主要由开发者使用。要使用此参数,编译内核时必须设置 CONFIG_IP_FIREWALL_NETLINK Set。
-m, --mark markvalue
标志匹配的包。包被一个32位的无符号整数标志。如果你不是一个内核黑客,你不必关心这些。如果标志值以 ‘+’ 或 ‘-‘开头,那么这个值将会从当前包的标志值加或减(初始值为0)。
-t, --TOS and xormask
用于改变IP头的TOS域。当包匹配规则,它的TOS域首先与第一个掩码逐位相与,结果再与第二个掩码逐位异或,掩码将会被指定为8位16进制数。TOS的最低有效位必须没有被改变。TOS域的四个位是最小延时"Minimum Delay", 最大吞吐量"Maximum Throughput", 最大可靠程度"Maximum Reliability"和最小费用"Minimum Cost"。最常用的是把 telnet 和 ftp 的控制连接设为最小延时和把 FTP 数据设为最大吞吐量. 这样做:
共4页: 上一页 [1] [2] 3 [4] 下一页
|
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|
