iptables 详解 （10） iptables的扩展动作总结

ACCEPT、DROP 都属于基础动作

一、REJECT 属于扩展动作：

REJECT的动作常用选项为--reject-with  + 拒绝原因 可加的原因有

默认值是 icmp-port-unreachable

icmp-net-unreachable

icmp-host-unreachable

icmp-port-unreachable

icmp-proto-unreachable

 

icmp-net-prohibited

icmp-host-prohibited

icmp-port-prohibited

icmp-proto-prohibited

root@ubuntu:~# iptables -I INPUT -j REJECT --reject-with icmp-host-unreachable
root@ubuntu:~# 

当前显示的ping不通的理由就是 无法访问目标主机.

可以看到被拒绝掉的数据包在前面显示

 

 

iptables 表动链序号

 

二、动作LOG

只负责记录匹配到报文的相关信息，不负责对报文进行处理，如下所示 

?

1 2 3 4 5 6 7 8 9 10 11 12

root@ubuntu:~# iptables -t filter -I INPUT -p tcp --dport 22 -j LOG root@ubuntu:~# root@ubuntu:~# iptables -nvL Chain INPUT (policy ACCEPT 124 packets, 10539 bytes)  pkts bytes target     prot opt in     out     source               destination            40  2608 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 LOG flags 0 level 4   Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target     prot opt in     out     source               destination           Chain OUTPUT (policy ACCEPT 29 packets, 2256 bytes)  pkts bytes target     prot opt in     out     source               destination

　　

将相关log发到指定的位置 

 

 --log-level （不同的级别有emerg、alert、crit、error、warning、notice、info，debug）

--log-prefix（可以给记录到的县官信息 添加标签之类的信息 以方便记录到报文信息中方便过滤）

?

1 2 3 4 5 6

root@ubuntu:/var/log# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "want-in-form-port-22" root@ubuntu:/var/log# root@ubuntu:/var/log# iptables -nL INPUT Chain INPUT (policy ACCEPT) target prot opt source destination LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW LOG flags 0 level 4 prefix "want-in-form-port-22"

　可以从标签中找到对应的内容