RedHatEnterpriseLinuxAS40教改课件第15章LINUX路由器与防火墙

第十五章

路由器与防火墙RedHatEnterpriseLinuxAS4.0

教改课件第十五章RedHatEnterpriseLinuxA案例二及其相关内容基础内容介绍案例一及其相关内容课后习题课程总结与操作实训内容导向案例二及其相关内容基础内容介绍案例一本章教学目标：掌握Linux路由器的配置掌握Linux防火墙的配置理解Linux防火墙的应用本章教学目标：重点：

Linux下路由及防火墙配置难点：

如何使用iptables工具配置防火墙规则。关键词：路由防火墙重点：15-1路由器的原理与作用1.路由器的定义：路由器是架构在不同的网络之间，用于实现数据传输的路径选择的一种设备。

15-1路由器的原理与作用1.路由器的定义：2.路由器的作用（1）协议转换（2）路由选择（3）流量控制（4）数据的分段和组装（5）网络管理（6）隔离广播（7）网络互联2.路由器的作用3、路由表的分类（1）静态路由表由系统管理员事先设置好固定的路径称为静态路由表，一般是在系统安装时就根据网络的配置情况预选设定的；（2）动态路由表动态路由表是路由器根据网络系统的运行情况而自动调整的路由表。3、路由表的分类（1）静态路由表4.路由器的工作原理

（1）路由表(静态、动态）（2）源主机与目的主机在同一网络直接发送（3）不在同一网络时，源主机把数据包发送给本网络的某一台路由器，路由器根据路由表进行数据转发4.路由器的工作原理返回首页返回首页案例一：在不同网络之间的计算机是不可能进行通信的，这时可以借助于路由器，可是一台硬件路由器的价格是比较昂贵的，如果你在做一个实验，必须要实现不同子网之间的数据的传输，可是你又没有资金去习一台价格昂贵的路由器，你该如何利用软件去实现，其实LINUX操作系统就相当于一台CISCO路由器，这时你该如何利用LINUX系统去实现三个子网间的通信；按照以下要求去进行配置；给出案例案例一：给出案例把一个LINUX主机作为路由器，其中有三块网卡；三块网卡分别对应三个子网；网卡eth0对就网段；eth1对应网段；eth2对应网段；在该系统中进行静态路由的配置，能让三个子网间相互通信；把一个LINUX主机作为路由器，其中有三块网卡；15-2静态路由的配置及其实现(1)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local 添加以下内容 echo1>/proc/sys/net/ipv4/ip_forward与案例有关的内容分析

15-2静态路由的配置及其实现(1)启用Linux系统(2)配置网卡接口的ip信息通常为网关地址；(2)配置网卡接口的ip信息(3)配置静态路由表如：#routeadd-net/24deveth0#routeadd–hostdeveth0#routeadd–netnetmaskgw(3)配置静态路由表（4）测试静态路由在不同的子网中的一台LINUX客户机上配置网络接口与网关利用ping命令进行测试；（4）测试静态路由(1)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local 添加以下内容 echo“1”>/proc/sys/net/ipv4/ip_forward或#echo“echo1”>/proc/sys/net/ipv4/ip-forward”>>/etc/rc.d/rc.local

15-3动态路由及其实现(1)启用Linux系统的路由转发功能15-3动态路由及其(2)启用动态路由协议①zebra简介zebra是基于Linux系统的Cisco路由仿真软件，该软件支持IPv4、IPv6协议和其他多种路由协议。zebra的特性：模块化设计、运行速度快、具有高可靠性；为什么使用zebra：1、替代昂贵的硬件路由器2、配置与CISCO的IOS配置相同；(2)启用动态路由协议②zebra的安装#rpm–ivhzebra…i386.rpm(CD3)相关文件：vtysh //配置工具zebra.conf //zebra的主配置文件/etc/zebra/ //存放zebra配置文件目录②zebra的安装③创建动态路由的配置文件#touch/etc/zebra/文件名.conf注：RIP协议(路由信息协议)的配置文件名是ripd.confOSPF协议（开放式最短路径优先）的配置文件名是ospf.confBGP协议（边界网关路由协议）的配置文件名是bgp.conf③创建动态路由的配置文件④启动服务#servicezebrastart#serviceripdstart④启动服务⑤配置动态协议#vtyshrh9>以下为Cisco路由器命令⑤配置动态协议分组操作…………点评、操作演示：………..分组操作返回首页返回首页案例二网络的安全是越来越重要，随着技术的发展，各类硬件防火墙一代代的产生，其实LINUX也同样的具有防火墙的功能，同时也具有代理服务器的功能，请你根据以下要求来进行配置；利用iptables建立一个自定义链ahxh应用该链，对从23过来的数据全部丢弃；应用之后再删除该链；设置一条默认的规则，允许接收所有的数据，拒绝net表中数据通过；拒绝主机发送icmp请求案例二网络的安全是越来越重要，拒绝网段ping防火墙主机，但允许防火墙主机ping其他主机拒绝防火墙主机向网段发送icmp应答，等同于上一条指令拒绝转发数据包到NAT，伪装内网网段的的主机地址为外网8,这个公有地址，使内网通过NAT上网，前提是启用了路由转发把internet上通过80端口访问8的请求伪装到内网这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发拒绝网段ping防火墙主机，但允许防15-4防火墙基础1.防火墙定义防火墙是指隔离在本地网络和外界网络之间的一道防御系统。其基本实现方式有以下三种：（1）包过滤（2）NAT(网络地址翻译)（3）代理服务

与案例有关的内容分析15-4防火墙基础1.防火墙定义与案例有关的内容分析防火墙分类·包过滤防火墙（网络层）·内容过滤防火墙（应用层）防火墙分类2.包过滤防火墙(1)包过滤防火墙定义包过滤是用一个软件查看所流经的数据包的包头（header），由此决定整个数据包的命运（丢弃/接受/其他相关操作）。2.包过滤防火墙(2)包过滤防火墙的工作原理

存储包过滤规则分析数据包的报头应用下一个规则允许传输？阻塞传输？末条规则？允许包阻塞包yyynnn(2)包过滤防火墙的工作原理存储包过滤规则分析数据包的报头3.Linux系统中常用的包过滤软件ipfwadm (应用于2.0内核)ipchains (应用于2.2内核)iptables (应用于2.4内核)3.Linux系统中常用的包过滤软件15-5Iptables的基础1.netfilter/iptables的含义netfilter也称内核空间，是用来实现防火墙的过滤器iptables也称用户空间，是用来指定Netfilter规则的用户工具15-5Iptables的基础1.netfilter/netfilter/iptables的功能·包过滤·NAT·连接跟踪·QOS(网络服务质量，是网络于用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定)netfilter/iptables的功能2.netfilter的体系netfiltertable2rule1ipchain2ipchain1rule2table1………………2.netfilter的体系netfiltertable2各部分说明：（1）表（table）定义：一种存放规则链的容器（2）链（ipchain）定义：细分表的具体功能，每条链由若干条规则构成（3）规则（rule）定义：是一种包含条件的判断语句，用于确定如何处理数据包各部分说明：15-6利用iptables配置规则1.安装iptablesiptables相关文件：/etc/rc.d/init.d/iptables//启动脚本/usr/sbin/iptables //配置工具/usr/sbin/iptables-save //保存规则到/etc/sysconfig/iptables文件中/usr/sbin/iptables-restore //恢复/etc/sysconfig/iptables文件中的规则15-6利用iptables配置规则1.安装iptabl2.iptables的语法命令格式：iptables[-t表名]命令[链][规则号][条件][规则]说明：（1）-t表名

指定规则所在的表。表名可以是filter,nat,mangle2.iptables的语法表

种类：FILTER(默认)：包过滤NAT：地址转换MANGLE：QOS表（2）命令（iptables的子命令）-A在指定链中添加规则-D在指定链中删除指定规则-R修改指定链中指定规则-I在指定规则前插入规则-L显示链中的规则-N建立用户自定义链（2）命令（iptables的子命令）-F清空链中的规则-X删除用户自定义链-P为链设置默认规则-C检查给定的包是否与指定链的规则相匹配-h显示帮助信息-F清空链中的规则（3）链INPUT//数据源来自外部且目的地址为本机时OUTPUT//数据源来自本机或内部网且要发往外部系统时FORWARD//数据源来自外部系统且要发往外部系统时POSTROUTING//对出去的数据包进行路由选择PREROUTING//对进来的数据包进行路由选择用户自定义链（3）链注：FILTER：INPUT、OUTPUT、FORWARDNAT：OUTPUT、POSTROUTING、PREROUTINGMANGLE：PREROUTING、OUTPUT、INPUT、POSTROUTING、FORWARD注：FILTER：（4）规则匹配条件-p[!]协议名 //指定匹配的协议(tcp,udp,icmp,all)-s[!]ip地址[/mask] //指定匹配的源地址--sport[!]端口号[：端口号] //指定匹配的源端口或范围-d[!]ip地址[/mask]//指定匹配的目标地址--dport[!]端口号[：端口号] //指定匹配的目标端口或范围（4）规则匹配条件--icmp-type[!]类型号/类型名-i接口名//指定接收数据包接口-o接口名//指定发送数据包接口 //指定icmp包的类型注：8表示request0表示relay（应答）

注：以上选项用于定义扩展规则-j规则指定规则的处理方法--icmp-type[!]类型号/类型名（5）规则ACCEPT：接受匹配条件的数据包（应用于INPUT,OUTPUT,FORWARD）REJECT：丢弃匹配规则的数据包且返回确认信息给源主机；DROP：丢弃匹配的数据包（应用于INPUT,OUTPUT,FORWARD）MASQUERADE：伪装数据包的源地址（应用于POSTROUTING且外网地址为动态地址，作用于NAT）LOG：表示包的有关信息被记录入日志；（5）规则REDIRECT：包重定向（作用于NAT表中PREROUTING,OUTPUT,使用要加上--to-port端口号）SNAT：伪装数据包的源地址（用于NAT表中POSTROUTING链，要加上--to-sourceip地址[ip地址]）DNAT：伪装数据包的目标地址（应用于NAT表中PREROUTING链，要加上--to-destinationip地址）RETURN：直接跳出当前规则链REDIRECT：包重定向（作用于NAT表中PRER3.iptables使用实例（1）匹配指定协议#iptables-AINPUT-ptcp匹配指定协议之外的所有的协议；#iptables-AINPUT-p!tcp3.iptables使用实例（2）指定匹配地址#iptables-AINPUT-s（主机）#iptables-AINPUT-s/24（网络）指定匹配地址以外的#iptables-AFORWARD-s！（主机）#iptables-AFORWARD-s！/24（网络）（2）指定匹配地址（3）指定网络接口匹配#iptables-AINPUT-ieth0#iptables–AFORWARD–oetho（3）指定网络接口匹配（4）指定端口匹配#iptables-AINPUT-ptcp--sport80#iptables-AINPUT-ptcp--sport22:80（4）指定端口匹配（5）显示规则#iptables-L(默认表中的所有规则)#iptables-tnat-L（5）显示规则（6）清空规则#iptables-F（6）清空规则（7）设置默认规则#iptables-PINPUTACCEPT（7）设置默认规则添加规则

#iptables–AINPUT–picmp–-icmp-type8–s–jDROP(拒绝主机发送icmp请求)#iptables–AINPUT–picmp–-icmp-type8–s/24–jDROP(拒绝网段ping防火墙主机，但允许防火墙主机ping其他主机)#iptables–AOUTPUT–picmp–-icmp-type0–d/24–jDROP(拒绝防火墙主机向网段发送icmp应答，等同于上一条指令)#iptables–AFORWARD–d-jDROP(拒绝转发数据包到,前提是必须被解析)添加规则#iptables–tnat–APOSTROUTING–s/24–jSNAT–-to-source(NAT，伪装内网网段的的主机地址为外网,这个公有地址，使内网通过NAT上网，前提是启用了路由转发)#iptables–tnat–APREROUTING–ptcp--dport80–d–jDNAT-–to-destination(把internet上通过80端口访问的请求伪装到内网这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发)#iptables–tnat–APOSTROUTI4.保存iptables规则方法一：用iptables命令编写一个规则脚本文件，然后在/etc/rc.d/rc.local中添加如下脚本：if[-x/etc/rules]then/etc/rulesfi方法二：#serviceiptablessave方法三：#iptables-save>/etc/sysconfig/iptables4.保存iptables规则分组操作…………点评、操作演示：………..分组操作返回首页返回首页归纳与总结通过本节的学习我们要掌握以下内容:Linux路由器的查看与配置Linux防火墙的配置Linux防火墙的应用归纳与总结通过本节的学习我们要掌握以下内容:上机操作实训假设你是一个网吧的网管，请根据以下要求在LINUX下来配置一台代理服务器：1、设置防火墙主机（）能够给局域网中的主机()动态分配IP地址，DNS为8；2、设置防火墙主机具有SNAT功能，代理内网中的主机接入Internet3、设置防火墙主机拒绝icmp数据包4、设置防火墙主机发布内网中的Web服务器()和FTP服务器()5、设置防火墙主机禁止内网主机访问www.QQ.com;上机操作实训返回首页返回首页1、浏览器与Web服务器之间通信采用的协议为A、FTPB、HTTPC、SMTPD、TELNET正确答案是：B2、iptables中清除所以的规则的参数是A、-iB、-LC、-FD、-A正确答案是：

C3、iptables中拒绝数据包是A、ACCEPTB、MASQC、EJECTD、DROP正确答案是：D4、RedHatEnterpriseLinuxAS4自带的防火墙软件是正确答案是：

A、ipchinasB、iptablesC、ISAD、checkpointB课后习题1、浏览器与Web服务器之间通信采用的协议为B25、route命令中-net是指A、目标是一个网段B、目标是一个主机C、目标是所有网段D、目标是所有主机正确答案是：A6、用于禁止转发ICMP包的iptables命令是A.iptables–AINPUT-picmp-jACCEPTB.iptables–AOUTPUT–picmp–jDROPC.iptables–AFORWARD–picmp–jDROPD.iptables–tnat-AOUTPUT–picmp–jDROP正确答案是：C7、启用路由转发功能的配置文件是A./etc/networkB./proc/sys/net/ipv4/ip_forwardC./etc/sysconfig/netD./var/run/network正确答案是：B返回首页5、route命令中-net是指A6、用于禁第十五章

路由器与防火墙RedHatEnterpriseLinuxAS4.0

教改课件第十五章RedHatEnterpriseLinuxA案例二及其相关内容基础内容介绍案例一及其相关内容课后习题课程总结与操作实训内容导向案例二及其相关内容基础内容介绍案例一本章教学目标：掌握Linux路由器的配置掌握Linux防火墙的配置理解Linux防火墙的应用本章教学目标：重点：

Linux下路由及防火墙配置难点：

如何使用iptables工具配置防火墙规则。关键词：路由防火墙重点：15-1路由器的原理与作用1.路由器的定义：路由器是架构在不同的网络之间，用于实现数据传输的路径选择的一种设备。

15-1路由器的原理与作用1.路由器的定义：2.路由器的作用（1）协议转换（2）路由选择（3）流量控制（4）数据的分段和组装（5）网络管理（6）隔离广播（7）网络互联2.路由器的作用3、路由表的分类（1）静态路由表由系统管理员事先设置好固定的路径称为静态路由表，一般是在系统安装时就根据网络的配置情况预选设定的；（2）动态路由表动态路由表是路由器根据网络系统的运行情况而自动调整的路由表。3、路由表的分类（1）静态路由表4.路由器的工作原理

（1）路由表(静态、动态）（2）源主机与目的主机在同一网络直接发送（3）不在同一网络时，源主机把数据包发送给本网络的某一台路由器，路由器根据路由表进行数据转发4.路由器的工作原理返回首页返回首页案例一：在不同网络之间的计算机是不可能进行通信的，这时可以借助于路由器，可是一台硬件路由器的价格是比较昂贵的，如果你在做一个实验，必须要实现不同子网之间的数据的传输，可是你又没有资金去习一台价格昂贵的路由器，你该如何利用软件去实现，其实LINUX操作系统就相当于一台CISCO路由器，这时你该如何利用LINUX系统去实现三个子网间的通信；按照以下要求去进行配置；给出案例案例一：给出案例把一个LINUX主机作为路由器，其中有三块网卡；三块网卡分别对应三个子网；网卡eth0对就网段；eth1对应网段；eth2对应网段；在该系统中进行静态路由的配置，能让三个子网间相互通信；把一个LINUX主机作为路由器，其中有三块网卡；15-2静态路由的配置及其实现(1)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local 添加以下内容 echo1>/proc/sys/net/ipv4/ip_forward与案例有关的内容分析

15-2静态路由的配置及其实现(1)启用Linux系统(2)配置网卡接口的ip信息通常为网关地址；(2)配置网卡接口的ip信息(3)配置静态路由表如：#routeadd-net/24deveth0#routeadd–hostdeveth0#routeadd–netnetmaskgw(3)配置静态路由表（4）测试静态路由在不同的子网中的一台LINUX客户机上配置网络接口与网关利用ping命令进行测试；（4）测试静态路由(1)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local 添加以下内容 echo“1”>/proc/sys/net/ipv4/ip_forward或#echo“echo1”>/proc/sys/net/ipv4/ip-forward”>>/etc/rc.d/rc.local

15-3动态路由及其实现(1)启用Linux系统的路由转发功能15-3动态路由及其(2)启用动态路由协议①zebra简介zebra是基于Linux系统的Cisco路由仿真软件，该软件支持IPv4、IPv6协议和其他多种路由协议。zebra的特性：模块化设计、运行速度快、具有高可靠性；为什么使用zebra：1、替代昂贵的硬件路由器2、配置与CISCO的IOS配置相同；(2)启用动态路由协议②zebra的安装#rpm–ivhzebra…i386.rpm(CD3)相关文件：vtysh //配置工具zebra.conf //zebra的主配置文件/etc/zebra/ //存放zebra配置文件目录②zebra的安装③创建动态路由的配置文件#touch/etc/zebra/文件名.conf注：RIP协议(路由信息协议)的配置文件名是ripd.confOSPF协议（开放式最短路径优先）的配置文件名是ospf.confBGP协议（边界网关路由协议）的配置文件名是bgp.conf③创建动态路由的配置文件④启动服务#servicezebrastart#serviceripdstart④启动服务⑤配置动态协议#vtyshrh9>以下为Cisco路由器命令⑤配置动态协议分组操作…………点评、操作演示：………..分组操作返回首页返回首页案例二网络的安全是越来越重要，随着技术的发展，各类硬件防火墙一代代的产生，其实LINUX也同样的具有防火墙的功能，同时也具有代理服务器的功能，请你根据以下要求来进行配置；利用iptables建立一个自定义链ahxh应用该链，对从23过来的数据全部丢弃；应用之后再删除该链；设置一条默认的规则，允许接收所有的数据，拒绝net表中数据通过；拒绝主机发送icmp请求案例二网络的安全是越来越重要，拒绝网段ping防火墙主机，但允许防火墙主机ping其他主机拒绝防火墙主机向网段发送icmp应答，等同于上一条指令拒绝转发数据包到NAT，伪装内网网段的的主机地址为外网8,这个公有地址，使内网通过NAT上网，前提是启用了路由转发把internet上通过80端口访问8的请求伪装到内网这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发拒绝网段ping防火墙主机，但允许防15-4防火墙基础1.防火墙定义防火墙是指隔离在本地网络和外界网络之间的一道防御系统。其基本实现方式有以下三种：（1）包过滤（2）NAT(网络地址翻译)（3）代理服务

与案例有关的内容分析15-4防火墙基础1.防火墙定义与案例有关的内容分析防火墙分类·包过滤防火墙（网络层）·内容过滤防火墙（应用层）防火墙分类2.包过滤防火墙(1)包过滤防火墙定义包过滤是用一个软件查看所流经的数据包的包头（header），由此决定整个数据包的命运（丢弃/接受/其他相关操作）。2.包过滤防火墙(2)包过滤防火墙的工作原理

存储包过滤规则分析数据包的报头应用下一个规则允许传输？阻塞传输？末条规则？允许包阻塞包yyynnn(2)包过滤防火墙的工作原理存储包过滤规则分析数据包的报头3.Linux系统中常用的包过滤软件ipfwadm (应用于2.0内核)ipchains (应用于2.2内核)iptables (应用于2.4内核)3.Linux系统中常用的包过滤软件15-5Iptables的基础1.netfilter/iptables的含义netfilter也称内核空间，是用来实现防火墙的过滤器iptables也称用户空间，是用来指定Netfilter规则的用户工具15-5Iptables的基础1.netfilter/netfilter/iptables的功能·包过滤·NAT·连接跟踪·QOS(网络服务质量，是网络于用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定)netfilter/iptables的功能2.netfilter的体系netfiltertable2rule1ipchain2ipchain1rule2table1………………2.netfilter的体系netfiltertable2各部分说明：（1）表（table）定义：一种存放规则链的容器（2）链（ipchain）定义：细分表的具体功能，每条链由若干条规则构成（3）规则（rule）定义：是一种包含条件的判断语句，用于确定如何处理数据包各部分说明：15-6利用iptables配置规则1.安装iptablesiptables相关文件：/etc/rc.d/init.d/iptables//启动脚本/usr/sbin/iptables //配置工具/usr/sbin/iptables-save //保存规则到/etc/sysconfig/iptables文件中/usr/sbin/iptables-restore //恢复/etc/sysconfig/iptables文件中的规则15-6利用iptables配置规则1.安装iptabl2.iptables的语法命令格式：iptables[-t表名]命令[链][规则号][条件][规则]说明：（1）-t表名

指定规则所在的表。表名可以是filter,nat,mangle2.iptables的语法表

种类：FILTER(默认)：包过滤NAT：地址转换MANGLE：QOS表（2）命令（iptables的子命令）-A在指定链中添加规则-D在指定链中删除指定规则-R修改指定链中指定规则-I在指定规则前插入规则-L显示链中的规则-N建立用户自定义链（2）命令（iptables的子命令）-F清空链中的规则-X删除用户自定义链-P为链设置默认规则-C检查给定的包是否与指定链的规则相匹配-h显示帮助信息-F清空链中的规则（3）链INPUT//数据源来自外部且目的地址为本机时OUTPUT//数据源来自本机或内部网且要发往外部系统时FORWARD//数据源来自外部系统且要发往外部系统时POSTROUTING//对出去的数据包进行路由选择PREROUTING//对进来的数据包进行路由选择用户自定义链（3）链注：FILTER：INPUT、OUTPUT、FORWARDNAT：OUTPUT、POSTROUTING、PREROUTINGMANGLE：PREROUTING、OUTPUT、INPUT、POSTROUTING、FORWARD注：FILTER：（4）规则匹配条件-p[!]协议名 //指定匹配的协议(tcp,udp,icmp,all)-s[!]ip地址[/mask] //指定匹配的源地址--sport[!]端口号[：端口号] //指定匹配的源端口或范围-d[!]ip地址[/mask]//指定匹配的目标地址--dport[!]端口号[：端口号] //指定匹配的目标端口或范围（4）规则匹配条件--icmp-type[!]类型号/类型名-i接口名//指定接收数据包接口-o接口名//指定发送数据包接口 //指定icmp包的类型注：8表示request0表示relay（应答）

注：以上选项用于定义扩展规则-j规则指定规则的处理方法--icmp-type[!]类型号/类型名（5）规则ACCEPT：接受匹配条件的数据包（应用于INPUT,OUTPUT,FORWARD）REJECT：丢弃匹配规则的数据包且返回确认信息给源主机；DROP：丢弃匹配的数据包（应用于INPUT,OUTPUT,FORWARD）MASQUERADE：伪装数据包的源地址（应用于POSTROUTING且外网地址为动态地址，作用于NAT）LOG：表示包的有关信息被记录入日志；（5）规则REDIRECT：包重定向（作用于NAT表中PREROUTING,OUTPUT,使用要加上--to-port端口号）SNAT：伪装数据包的源地址（用于NAT表中POSTROUTING链，要加上--to-sourceip地址[ip地址]）DNAT：伪装数据包的目标地址（应用于NAT表中PREROUTING链，要加上--to-destinationip地址）RETURN：直接跳出当前规则链REDIRECT：包重定向（作用于NAT表中PRER3.iptables使用实例（1）匹配指定协议#iptables-AINPUT-ptcp匹配指定协议之外的所有的协议；#iptables-AINPUT-p!tcp3.iptables使用实例（2）指定匹配地址#iptables-AINPUT-s（主机）#iptables-AINPUT-s/24（网络）指定匹配地址以外的#iptables-AFORWARD-s！（主机）#iptables-AFORWARD-s！/24（网络）（2）指定匹配地址（3）指定网络接口匹配#iptables-AINPUT-ieth0#iptables–AFORWARD–oetho（3）指定网络接口匹配（4）指定端口匹配#iptables-AINPUT-ptcp--sport80#iptables-AINPUT-ptcp--sport22:80（4）指定端口匹配（5）显示规则#iptables-L(默认表中的所有规则)#iptables-tnat-L（5）显示规则（6）清空规则#iptables-F（6）清空规则（7）设置默认规则#iptables-PINPUTACCEPT（7）设置默认规则添加规则

#iptables–AINPUT–picmp–-icmp-type8–s–jDROP(拒绝主机发送icmp请求)#iptables–AINPUT–picmp–-icmp-type8–s/24–jDROP(拒绝网段ping防火墙主机，但允许防火墙主机ping其他主机)#iptables–AOUTPUT–picmp–-icmp-type0–d/24–jDROP(拒绝防火墙主机向网段发送icmp应答，等同于上一条指令)#iptables–AFORWARD–d-jDROP(拒绝转发数据包到,前提是必须被解析)添加规则#iptables–tnat–APOST