IP6tables使用方法

1、IP6tables使用方法（man手册）-Pchaintargetoptions-Eold-chain-namenew-chain-name描述ip6tables通常是用来建立、维护、检查linux内核IPv6包过滤表的。可能定义了几个不同的表。每个表都包含了一些内置的链和用户定义的链。每个链都是匹配一组包的规则的列表。每个规则都说明了如何匹配一个包。这是个target的调用，这个target在相同的表中或许会跳转到用户定义的链。目的防火墙规则说明了包的规则和目标。如果一个包没有匹配，用链中的下一个规则检查；如果不匹配，下一个规则用target的值说明，target的值可能命名了一条用户定义的

2、链，或者指定了ACCEPT、DROP、QUEUE或RETURN值中的一个。ACCEPT意思是让包通过，DROP的意思是在底层把包丢弃。QUEUE的意思是把传送到用户空间。RETURN的意思是停止正在遍历的链，返回先前链的下一个规则。如果到达内置链的最后或者匹配上了带RETURN值白target内置链的规则，被链策略指定的target决定了包的命运。目前有两个独立的用于nat的表没有实现。名称ip6tables-Ipv6包过滤管理摘要ip6tables-ttable-ADchainrule-specificationoptionsip6tables-ttableTchainrulenumrule

3、-specificationoptionsip6tables-ttable-Rchainrulenumrule-specificationoptionsip6tables-ttable-Dchainrulenumoptionsip6tables-ttableLFZchainoptionsip6tables-ttable-Nchainip6tables-ttableTXchainip6tables-ttableip6tables-ttable-t,-table表名该选项指出包匹配的表名，该表就是命令操作的那个表。如果内核被配置为自动加载模块，如果这个表不存在，内核就要加载对应于这个表的模块。有如

4、下表：filter：如果没有-t选项，该表是默认的表。它包含了内置的链INPUT（用于进入防火墙的包）、FORWARD（用于经防火墙转发的包）和OUTPUT（防火墙本地生成的包）mangle：这个表专门用于包的变化。包含了五个表，INPUT（用于进入防火墙的包）、PREROUTING（用于进入防火墙路由之前变化的包）、OUTPUT（用于本地生成的路由之前变更的包）、FORWARD（用于通过防火墙路由的变更的包）、POSTROUTING（用于差不多要发送出去的变更的包）raw：该表主要用于配置了NOTRACK的target的免于连接跟踪的情况。在调用nf_conntrack之前以最高优先级注册到

5、netfilter的hooks点上。提供了两个内置的链PREROUTING（用于经过一些网络接口到达的包）和OUTPUT（用于本地进程生成的包）选项ip6tables的选项分为以下几个组：命令组这个选项指定了要执行的明确的动作。在命令行中只能指定一个，除非有其他规定。- A,-appendchainrule-specification在选中的链后增加一条或多条规则。当源和/或目的代表了不止一个地址，规则要增加到每一个可能的地址上。- D,-deletechainrule-specification- D,-deletechainrulenum从选中的链中删除一条或多条规则。有两个版本命令可用：

6、可以指定在链中规则的号码，也可以指定匹配的规则。- I,-insert在选中的链中按照给出的规则号码插入一条或多条规则。如果没有规则号码指定，默认值为1。插入到链的头部。- R,-replacechainrulenumrule-specification在指定的链中替换一条规则。如果源和/或目的代表了多个地址，命令失败。规则号码从1开始。- L,-listchain列出所有指定链的规则，如果没有指定链，列出所有链的规则。像其他的每个命令一样，必须指定应用的表 （filter是默认的） ， 因此mangle表的规则通过命令ip6tables式mangle-n-L来显示。-n选项避免长反向DNS查

7、找。-Z选项将列出的规则值自动清零。如果要查看详细的输出，用ip6tables-L-v- F,-flushchain刷新指定的链（如果没有指定链，刷新这个表的所有链）。相当于删除链的所有规则- Z,-zerochain将链中的包数和字节数清零。通常和-L,-list一起使用。- N,-new-chainchain建立一个用户定义的新链，名称不能是target指定的。- X,-delete-chainchain删除指定的用户定义的链。这个链不能被使用，如果在使用，现删除上面的规则。如果没有指定参数，删除表中所有非内置链。- P,-policychaintarget为给定target的链设置策略。

8、target的设置参见“目标”一节。只有内置的链可以有策略，所有链的都可以有target策略。- E,-rename-chainold-chainnew-chain改变用户指定链的名称，对表的结构没有影响。- h帮助参数组下面的参数是建立规则的说明。- p,-protocol!protocol规则或包检查的协议。指定的协议可以是tcp,upd,icmpv6,esp中的一个或全部。也可以是数值，代表这些协议中的某一个。也可以使用/etc/protocols中的协议名。除了esp外ipv6的扩展头是不允许使用的。在协议名前的“！”表示相反的规则。数字0相当于所有协议all。协议all会匹配所有的协

9、议，而且这是缺省的选项。- s,-source!address/mask指定源地址。地址可以是主机名，一个带掩码的ipv6网络地址，或者一个ipv6地址。掩码可以是网络掩码，也可以是一个数字。地址前面的“！”说明指定地址相反的情况。-src是这个选项的别名。指定目的地址。语法同上。-dst是这个选项的别名。- j,-jumptarget指定规则的目标。就是如果包匹配了下一步做什么。目标可以是用户自定义的链（不是这条规则所在的），立即决定包命运的特别内置目标之一，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项省略，那么匹配的过程不会对包的命运产生影响，不过规则的计数器会增加。

10、- i,-in-interface!name包被接收时经过的接口名称（仅用于包进入INPUT、FORWARDPREROUTING链）。接口名称前有“！”时，情况相反。如果接口名称以“+”结束，任何以该名称开始的接口都匹配。如果该项省略，匹配任何名称接口。- o,-out-interface!name包发送时经过的接口名称（用于FORWARD、OUTPUT链）。接口名称前有“一时，情况相反。如果接口名称以“+”结束，任何以该名称开始的接口都匹配。如果该项省略，匹配任何名称接口。- c,-set-countersPKTSBYTES初始化规则中包和字节的计数器。（在INSERT、APPEND、REP

11、LACE操作时）其他选项- v,-verbose详细输出。这个选项可以让list命令显示接口名称，规则选项（如果有），和TOS掩码。包和字节计数器也被显示，分别用数字和K、M、G（后缀）表示1000、1,000,000、1,000,000,000的倍数（-x标志可以改变）。对于添加、插入、删除、替换命令，能够使一个或多个规则的详细信息打印出来。- n,-numeric数字输出。IP地址和端口号以数字形式显示。默认情况下，程序将以主机名称，网络名称，或者服务（只要合适）显示。-x,-exact扩展数字。显示包和字节计数器的精确值，代替用K、M、G显示的约数。这个选项只能用于-L命令-line-n

12、umbers当显示规则时，给每个规则前加上编号。这个编号与规则在链中的的位置一致。-modprobe=command在链表中添加和插入规则时，用command”加载所需的模块（目标、匹配扩展等）匹配扩展ip6tables能够使用与模块匹配的扩展包。有两种加载方式：用-p或-protocol指定,或者用-m或-match选项，后跟匹配的模块名称。然后，相对于指定模块的各种扩展的命令行选项可以使用。在一行中可以指定多个匹配的扩展模块。ah这个模块匹配IPSec包的认证包头参数。-ahspiispi:spi匹配SPI-ahlenilength以字节为单位的包头的总长度-ahres如果保留位字段都是0

13、,匹配condition-condition!filename匹配存储在文件/proc/net/ip6t_condition/filename中的布尔值。dst该模块匹配目的地址选项包头参数-dst-len!length以字节为单位的包头的总长度-dst-optstype:length,type:length以字节为单位的选项类型号和选项数据长度esp该模块匹配IPSec包白ESP包头的SPIs-espspi!spi:spieui64该模块匹配IPv6地址无状态自动分配的EUI-64部分。它比较来源于以太网帧中IPv6源地址的低64位的源mac地址的EUI-64。但是“全球/本地”位不比较。该

14、模块不能匹配其他链路的帧，并且只在PREROUTING、INPUT和FORWARD链中应用。frag该模块匹配分片包头参数-fragidiid:idj匹配给定的标识符或者其范围-fraglenilength该选项不能用在2.6.10或之后版本-fragres如果保留位字段都是0,匹配-fragfirst匹配第一个分片-fragmore如果有更多的分片，匹配-fraglast如果是最后一个分片，匹配fuzzy该模块匹配在一个模糊逻辑控制基础上的速率限制-lower-limitnumber指定一个最低限制（每秒包数）-upper-limitnumber指定一个最高限制（每秒包数）hbh该模块匹配H

15、op-by-Hop选项头参数-hbh-len!length以字节为单位的包头的总长度-hbh-optstype:length,type:length以字节为单位的选项类型的号码和选项数据的长度hl该模块匹配IPv6包头的下一跳字段-hl-eq!value如果下一跳限制等于value值，匹配-hl-lq!value如果下一跳限制小于value值，匹配如果下一跳限制大于value值，匹配icmpv6-icmpv6-type!type/codetypename所允许的ICMPv6类型的说明，ICMPv6类型的号码，类型和编码，或者其中之一的类型名称。通过下面命令显示：ip6tables-pipv6-

16、icmp-hipv6header该模块匹配Ipv6扩展包头和/或上层协议包头-header!header,header并不是所有指定的包头的包都匹配。封装了ESP扩展包头的包就不在其中。header参数可以是Hop-by-Hop、dst、route、frag、auth、esp、none,或者上层协议的包头。/etc/protocol文件中的协议名字也可以，也允许数值。255相当于上层协议包头。-soft使用参-header指定的所有包头中至少有一个匹配length该模块匹配以字节为单位的Ipv6净载荷的长度，或者长度范围。ipv6包头本身不包括。-length!length:lengthlim

17、it该模块匹配使用令牌桶过滤的一个限制速率。使用这个扩展模块的规则直到速率达到限制的速率才匹配。可以和LOG目标一起使用，-limitrate匹配最大的平均速率。-limit-burstnumber匹配最大的初始包数。在没有到达限制时，可以改变限制数。默认为5mac-mac-source!address匹配源mac地址。（IPv6是否能用？）只用在PREROUTING、FORWARD和INPUT链上。mark该模块匹配与包有联系的netfiltermark字段（能用下面MARKtarget设置的包）-markvalue/mask用指定的无符号mark值匹配包（如果指定了mask,在比较前用ma

18、sk进行逻辑与）multiport该模块匹配一组源或目的端口。总共可以指定15个。一个端口范围（port:port）算两个，但是范围现在不支持。只能使用在-ptcp和-pudp一起时。-source-ports!port,port,port:port.如果源端口是指定的端口之一，匹配成功。-sports是该选项方便的别名。-destination-ports!port,port,port:port.如果目的端口是指定的端口之一，匹配成功。-dports是该选项方便的别名。-ports!port,port,port:port.如果源端口和目的端口是指定的端口之一，匹配成功。nth（省略）owne

19、r该模块匹配本地产生的包的各种特征。只应用于OUTPUT链，甚至一些没有owen的包（ICMPv6ping的响应包），因此永远无法匹配。-uid-owneruerid如果给定用户ID进程产生的包匹配。-gid-ownergroupid如果给定组ID的进程产生的包匹配-pid-ownerprocessed如果给定进程号的进程产生的包匹配-sid-ownersessionid如果给定的会话组进程产生的包匹配注意：如果在SMP情况下pid和sid不成立physdev该模块匹配被桥设备使用的输入和输出的端口。-physdev-in!name桥端口的名称，经过给端口接收包。（只用于INPUT、FORWA

20、RD、PREROUTING链）。如果接口名称以“+”结束，任何以该名称开头的接口都匹配-physdev-out!name桥端口的名称，经过给端口发送包。（只用于OUTPUT、FORWARD、PPSTROUTING链）。如果接口名称以“+”结束，任何以该名称开头的接口都匹配!-physdev-is-in如果进入的包通过桥接口匹配!-physdev-is-out如果离开的包通过桥接口匹配!-physdev-is-bridged如果包是桥接的而不是路由的匹配。只用于FORWARD和POSTROUTING链。policy该模块匹配IPSec处理包的策略。-dirin|out选择是匹配解封策略，还是封装

21、策略。in用于PREROUTING、INPUT和FORWARD链。out用于POSTROUTING、OUTPUT和FORWARD链-polnone|ipsec如果这个包被IPSec处理匹配-strict选项是否匹配精确测量，或者给出的策略的任意规则。-spispj匹配SA的SPI-protoah|esp|ipcomp匹配封装协议-modetunnel|transport匹配封装模式-tunnel-srcaddr/mask匹配一个隧道模式源端点地址。只用在-modetunnel-tunnel-dstaddr/mask匹配一个隧道模式目的端点地址。只用在-modetunnel-next从指定策略的

22、下一个开始。只用于-strictrandom该模块随机匹配所有包的某个百分比。-averagepercent匹配指定的百分比。如果省略，默认设置为50%rt匹配IPv6路由包头-rt-type!type匹配类型（号码）-rt-segsleft!num:num（省略）-rt-len!length匹配包头长度-rt-0-res匹配保留字段（type=0）-rt-0-addressADDR,ADDR匹配type=0的地址（列表）-rt-0-non-strict列出type=0的地址，而非详细显示tcp-source-port!port:port指定了源端口或端口范围。可以是服务名或者端口数。通过po

23、rt:port指定一个包括一且的范围。第一个端口省略，默认为“0”，最后一个端口省略，默认为“65535。-sport是这个选项的方便别名-destination-port!port:port指定了目的端口或端口范围。-dport是这个选项的方便别名-tcp-flag!maskcomp当我们指定了tcp标志时匹配。标志中的第一个参数作为应该检测的命令分隔符的列表，第二个参数是必须设置的标志在命令分隔符列表中。标志有：SYN、ACK、FIN、RST、URG、PSH、ALL、NONE。因止匕，命令ip6tablesAFORWARD-ptcpdcp-flagsSYN,ACK,FIN,RSTSYN”只

24、匹配带有SYN标志的包。!wyn只匹配包中含有SYN标志的。前面加“！”情况相反。-tcp-opton!number如果设置了选项进行匹配udp-source-port!port:port指定了源端口或端口范围。细节部分描述同TCP。-destination-port!port:port指定了目的端口或端口范围。细节部分描述同TCP。目标扩展HL用来修改IPv6包头中的下一跳限制。该目标只用于mangle表。-hl-setvalue设置跳限的值为value-hl-decvalue减少跳限的值-hl-incvalue增加跳限的值LOG打开内核中匹配包的日志。-log-levellevel记录日志的级别-lo