ACCEPT、DROP 都属于基础动作
一、REJECT 属于扩展动作:
REJECT的动作常用选项为--reject-with + 拒绝原因 可加的原因有
默认值是 icmp-port-unreachable
icmp-net-unreachable
icmp-host-unreachable
icmp-port-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
icmp-port-prohibited
icmp-proto-prohibited
root@ubuntu:~# iptables -I INPUT -j REJECT --reject-with icmp-host-unreachable
root@ubuntu:~#
当前显示的ping不通的理由就是 无法访问目标主机.
可以看到被拒绝掉的数据包在前面显示
iptables 表动链序号
二、动作LOG
只负责记录匹配到报文的相关信息,不负责对报文进行处理,如下所示
root@ubuntu:~# iptables -t filter -I INPUT -p tcp --dport 22 -j LOG root@ubuntu:~# root@ubuntu:~# iptables -nvL Chain INPUT (policy ACCEPT 124 packets, 10539 bytes) pkts bytes target prot opt in out source destination 40 2608 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 LOG flags 0 level 4 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 29 packets, 2256 bytes) pkts bytes target prot opt in out source destination
将相关log发到指定的位置
--log-level (不同的级别有emerg、alert、crit、error、warning、notice、info,debug)
--log-prefix(可以给记录到的县官信息 添加标签之类的信息 以方便记录到报文信息中方便过滤)
root@ubuntu:/var/log# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "want-in-form-port-22" root@ubuntu:/var/log# root@ubuntu:/var/log# iptables -nL INPUT Chain INPUT (policy ACCEPT) target prot opt source destination LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW LOG flags 0 level 4 prefix "want-in-form-port-22"
可以从标签中找到对应的内容