arptables,linux命令,用於過濾arp包。
基本思路和iptables一樣,不過,arptables處理arp協定有關的包,這些包在iptables中並不會處理·arptables可用於靈活的arp管理,如果善於運用的話,不失為一個優秀的arp防火牆.既能防止別的機器對自己進行arp欺騙,又能防止本機病毒或錯誤程式向其他機器發起arp攻擊。
基本介紹
- 外文名:arptables
- 軟體功能:用於管理arp包過濾的軟體
- 最基本的目標:ACCEPT, DROP, QUEUE, RETURN
- 操作參數:命令類和參數
用法,描述,操作參數,例子,
用法
arptables [-t table] -[AD] chain rule-specification [options]
arptables [-t table] -I chain [rulenum] rule-specification [options]
arptables [-t table] -R chain rulenum rule-specification [options]
arptables [-t table] -D chain rulenum [options]
arptables [-t table] -[LFZ] [chain] [options]
arptables [-t table] -N chain
arptables [-t table] -X [chain]
arptables [-t table] -P chain target [options]
arptables [-t table] -E old-chain-name new-chain-name
描述
arptables用於建立、獲取、修改核心的arp包處理表.有幾個不同的表,每個表分別含有幾條內建的處理鏈,同時允許用戶自定義處理鏈
每條鏈是一些規則的列表,每條規則匹配特定的包.每條規則指定一個對匹配的包的操作.這個操作也叫做‘目標’,這個目標也可是跳轉到同一個表中的另外的鏈
內建目標:
ACCEPT, DROP, QUEUE, RETURN.是幾個最基本的目標,ACCEPT指接受這個包,DORP指丟掉這個包,QUEUE指把包傳到用戶空間(如果核心指定了的話),RETURN指返回到上一條鏈,接著執行上一條鏈跳轉過來哪條規則的下一個規則.每條鏈都有一個默認目標,當包經過所有規則都沒被匹配,則發給默認目標
表:
一邊至少有一個內建的表(filter表)-t常常用於指定要操作的表.filter表有兩個內建的鏈,IN和OUT,IN用於處理目標為發給本機目標為本機的包,OUT處理本機發出去的包.
操作參數
有兩類,一類為命令類,包括
-A, --append chain rule-specification追加規則
-D, --delete chain rule-specification刪除指定規則
-D, --delete chain rulenum刪除指定位置的規則
-I, --insert chain [rulenum] rule-specification插入規則
-R, --replace chain rulenum rule-specification替換規則
-L, --list [chain]列出規則
-F, --flush [chain]刪除所有規則
-Z, --zero [chain]清空所有計數
-N, --new-chain chain新建鏈
-X, --delete-chain [chain]刪除鏈
-P, --policy chain target指定默認目標
-E, --rename-chain old-chain new-chain重命名鏈
-h,幫助
另一類為參數
-s, --source [!] address[/mask]源地址
-d, --destination [!] address[/mask]目的地址
-z, --source-hw [!] hwaddr[mask]源mac
-y, --target-hw [!] hwaddr[mask]目的mac
-i, --in-interface [!] name受到這個包的網卡
-o, --out-interface [!] name要傳送這個包的網卡
-a, --arhln [!] value[mask]
-p, --arpop [!] value[mask]
-H, --arhrd [!] value[mask]
-w, --arpro [!] value[value]
-j, --jump target跳到目標
-c, --set-counters PKTS BYTES計數
例子
將源為aaaa目的不是cccc的轉發包偽裝為源地址是bbbb
iptables -t nat -A POSTROUTING -s aaaa ! -d cccc \
-j SNAT --to bbbb
將源不是cccc,目的是aaaa的包丟掉
arptables -A IN ! -s cccc -d aaaa -j DROP
將源是aaaa,目的不是cccc的請求包發給bbbb
arptables -A OUT -s aaaa ! -d cccc -j mangle \
--mangle-ip-s bbbb
