iptables 详解 (10) iptables的扩展动作总结

ACCEPT、DROP 都属于基础动作

一、REJECT 属于扩展动作:

REJECT的动作常用选项为--reject-with  + 拒绝原因 可加的原因有

默认值是 icmp-port-unreachable

icmp-net-unreachable

icmp-host-unreachable

icmp-port-unreachable

icmp-proto-unreachable

 

icmp-net-prohibited

icmp-host-prohibited

icmp-port-prohibited

icmp-proto-prohibited

root@ubuntu:~# iptables -I INPUT -j REJECT --reject-with icmp-host-unreachable
root@ubuntu:~# 

当前显示的ping不通的理由就是 无法访问目标主机.

可以看到被拒绝掉的数据包在前面显示

 

 

iptables 表动链序号

 

二、动作LOG

只负责记录匹配到报文的相关信息,不负责对报文进行处理,如下所示 

root@ubuntu:~# iptables -t filter -I INPUT -p tcp --dport 22 -j LOG
root@ubuntu:~# 
root@ubuntu:~# iptables -nvL
Chain INPUT (policy ACCEPT 124 packets, 10539 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   40  2608 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 LOG flags 0 level 4

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 29 packets, 2256 bytes)
 pkts bytes target     prot opt in     out     source               destination    

  

将相关log发到指定的位置 

 

 --log-level (不同的级别有emerg、alert、crit、error、warning、notice、info,debug)

--log-prefix(可以给记录到的县官信息 添加标签之类的信息 以方便记录到报文信息中方便过滤)

root@ubuntu:/var/log# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "want-in-form-port-22"
root@ubuntu:/var/log# 
root@ubuntu:/var/log# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination 
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW LOG flags 0 level 4 prefix "want-in-form-port-22"

 可以从标签中找到对应的内容 

 

posted @ 2020-02-29 14:58  陈晓猛  阅读(1519)  评论(0编辑  收藏  举报