linux過濾ip地址

Ⅰ linux怎麼屏蔽美國ip地址

工具/原料

Linux伺服器
電腦一台
方法/步驟

其實國外的IP 有很多的，而且那麼多的國家IP量是非常大的，一個國家的IP的不多，也就是說我們可以收集到國內的IP，然後只允許國內的IP 訪問，其它的IP都拒絕，這樣也可以達到過濾到國外IP的辦法。

我們可以完全使用iptables來進行過濾

首先說一下iptables 允許一個IP 的辦法
iptables -A INPUT -s 114.114.114.114 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -d 114.114.114.114 -p TCP --sport 80 -j ACCEPT
這樣子就可以允許一個IP 訪問伺服器端的80埠了

如果需要使用iptables來允許一個IP段的話，我們可以這樣子
iptables -A INPUT -s 121.10.139.0/24 -p TCP --dport 80 -j ACCEPT

iptables -A OUTPUT -d 121.10.139.0/24 -p TCP --sport 80 -j ACCEPT
這樣子就可以允許一個IP段 訪問伺服器端的80埠了

上面介紹了如何允許一個IP 或者IP 段訪問的辦法，這時我們就可以把收集到的全國的IP 段都允許訪問伺服器。

當然不是手動一個個打，我們可以把它做成shell腳本，然後運行一下即可添加到防火牆里邊了。

然後運行腳本，即可全部添加到規則里邊了，十分方便。這個就需要您收集到准確的國內IP 以及shell腳本的一些知識。

7
最後再運行使用iptables -A INPUT -j DROP 然後其他的國外IP 都給拒絕了。

Ⅱ linux grep怎麼查ip地址

ifconfig是linux中用於顯示或配置網路設備（網路介面卡）的命令，英文全稱是network interfaces configuring。它能夠顯示網卡的IP地址、子網掩碼、廣播地址、硬體地址等信息。

如果希望結果只返回ip地址，可以使用grep命令對返回的結果進行過濾。可以根據IP地址位於"inet addr:"字元串之後這一特徵對ifconfig命名返回的結果進行匹配。

用法示例：使用ifconfig結合grep命令獲取網卡eth0的IP地址

$ ifconfig eth0 | grep -o -E "inet addr:[0-9.]+"

參數-E表示使用擴展正則表達式egrep

參數-o表示只顯示一行中匹配正則表達式的部分

Ⅲ 怎麼用Linux 正則表達式過濾出IP地址

||用正則表達式提取網址的方式如下： 用ifconfig來提取 ifconfig eth0|專grep "inet addr"|awk '{print $2}'|awk -F: '{print $2}'192.168.10.1 用ip addr來提齲屬 ip addr | grep -Po '[^ ]+(?=/\d)'

Ⅳ 怎麼用Linux 正則表達式過濾出IP地址

用正則表達式提取網址的方式如下： 用ifconfig來提取 ifconfig eth0|grep "inet addr"|awk '{print $2}'|awk -F: '{print $2}'192.168.10.1 用ip addr來提齲 ip addr | grep -Po '[^ ]+(?=/\d)'

Ⅳ 機房的linux伺服器是做接入服務的，最近總是接收到2個IP地址不停發出的接入請求信息，請問怎麼能屏蔽它們

不需要外加防火牆，既然是linux，假設你要屏蔽的ip是a.b.c.d，那麼可以使用linux自帶的包過濾命令
iptables -A INPUT -s a.b.c.d -j DROP
說明：向INPUT規則鏈追加規則，如果源地址是a.b.c.d那麼丟棄。

這樣所有從a.b.c.d進入本機的數據包都會被無條件丟棄。
a.b.c.d顯示的效果是Connection timed out.
然後迅速想辦法查明問題的原因。

Ⅵ 用Linux Shell 腳本過濾IP地址192.168.0.100/29中的100和29，應該怎麼寫語句

過濾出來是幾個意思。
得到
192.168.0.100/29 還是
192.168.0.
還是
所有以100/29結尾的ip

Ⅶ 如何在Linux中通過命令查看域名對應的IP

實際工作或者維護過程中常常需要通過域名反查下其對應的IP地址。解決方法有多種，既可以通過網上提供的域名反查IP查詢工具查詢，也可以在 Linux系統 中通過命令進行查詢。

本教程主要講解如何在Linux系統中通過命令查看域名對應的IP地址，主要講解以下5個命令：

dig命令它是一個功能強大且靈活的命令行工具，用於查詢 DNS 名稱伺服器。它執行 DNS 查詢，並顯示來自查詢的名稱伺服器的返回信息。大多數 DNS 管理員使用 dig 命令來解決 DNS 問題，因為它靈活、易用且輸出清晰。

如何使用 dig 命令查找域的 IP 地址呢？看示例：

輸出：

當然如果你需要一次查詢多個域名的IP地址，可以通過將多個域名信息放到一個文本文件中，每行一個，然後編寫shell腳本進行讀取文件然後循環批量查詢輸出。

shell腳本命令類似如下：

host 命令可用於執行 DNS 查詢。它通常用於將名稱轉換為 IP 地址，反之亦然。如果未提供任何參數或選項， host 將列印它的命令行參數和選項摘要。

輸出：

同理，可以通過編寫shell腳本實現批量查詢，示例如下：

nslookup 命令是一個用於查詢互聯網域名伺服器（DNS）的程序。

nslookup 有兩種模式，分別是互動式和非互動式。交互模式允許用戶查詢名稱伺服器以獲取有關各種主機和域的信息，或列印域中的主機列表。非交互模式用於僅列印主機或域的名稱和請求的信息。

它是一個網路管理工具，可以幫助診斷和解決 DNS 相關問題。命令示例如下：

輸出：

同理，使用以下 bash 腳本查找多個域的 IP 地址

fping 命令是類似 ping 之類的程序，它使用互聯網控制消息協議（ICMP）echo 請求來確定目標主機是否響應。

fping 與 ping 不同，因為它允許用戶並行 ping 任意數量的主機。另外，它可以從文本文件輸入主機。

fping 發送 ICMP echo 請求，並以循環方式移到下一個目標，並且不等到目標主機做出響應。

如果目標主機答復，那麼將其標記為活動主機並從要檢查的目標列表中刪除；如果目標在特定時間限制和/或重試限制內未響應，那麼將其指定為不可訪問。

fping命令程序並不默認安裝在 Linux發行版 中，一般需要進行安裝，常見的發行版安裝命令如下：

Ubuntu / Debian / LinuxMint

Fedora / CentOS / RHEL

fping默認使用示例:

輸出：

更多關於fping的使用方法可以通過在終端中鍵入 man fping 來學習。

ping 命令（數據包互聯網抓手Packet Internet Groper）是一個網路程序，用於測試 Internet 協議（IP）網路上主機的可用性/連接性。

ping命令通過向目標主機發送互聯網控制消息協議（ICMP）Echo 請求數據包並等待 ICMP Echo 應答來驗證主機的可用性。

它基於發送的數據包、接收的數據包、丟失的數據包，通常包含最小/平均/最大時間來匯總統計結果。

命令示例：

輸出:

我們可以看到輸出內容中起對應的IP地址，如果需要過濾輸出，增加更多相應的命令處理：

輸出：

以上內容為在 Linux系統 中使用5個命令來獲取域名對應的IP地址。建議你可以在自己的伺服器或者自己的Linux同上進行嘗試，也可以通過編寫shell腳本進行批量處理或通過相應的命令對輸出進行處理輸出自己想要的內容。

Ⅷ Linux常用指令---grep(搜索過濾)(轉)

Linux常用指令---grep(搜索過濾) (轉)

Linux系統中grep命令是一種強大的文本搜索工具，它能使用正則表達式搜索文本，並把匹 配的行列印出來。grep全稱是Global Regular Expression Print，表示全局正則表達式版本，它的使用許可權是所有用戶。

grep的工作方式是這樣的，它在一個或多個文件中搜索字元串模板。如果模板包括空格，則必須被引用，模板後的所有字元串被看作文件名。搜索的結果被送到標准輸出，不影響原文件內容。

grep可用於shell腳本，因為grep通過返回一個狀態值來說明搜索的狀態，如果模板搜索成功，則返回0，如果搜索不成功，則返回1，如果搜索的文件不存在，則返回2。我們利用這些返回值就可進行一些自動化的文本處理工作。

1．命令格式：

grep [option] pattern file

2．命令功能：

用於過濾/搜索的特定字元。可使用正則表達式能多種命令配合使用，使用上十分靈活。

3．命令參數：

-a   --text   #不要忽略二進制的數據。   

-A<顯示行數>   --after-context=<顯示行數>   #除了顯示符合範本樣式的那一列之外，並顯示該行之後的內容。   

-b   --byte-offset   #在顯示符合樣式的那一行之前，標示出該行第一個字元的編號。   

-B<顯示行數>   --before-context=<顯示行數>   #除了顯示符合樣式的那一行之外，並顯示該行之前的內容。   

-c    --count   #計算符合樣式的列數。   

-C<顯示行數>    --context=<顯示行數>或-<顯示行數>   #除了顯示符合樣式的那一行之外，並顯示該行之前後的內容。   

-d <動作>      --directories=<動作>   #當指定要查找的是目錄而非文件時，必須使用這項參數，否則grep指令將回報信息並停止動作。   

-e<範本樣式>  --regexp=<範本樣式>   #指定字元串做為查找文件內容的樣式。   

-E      --extended-regexp   #將樣式為延伸的普通表示法來使用。   

-f<規則文件>  --file=<規則文件>   #指定規則文件，其內容含有一個或多個規則樣式，讓grep查找符合規則條件的文件內容，格式為每行一個規則樣式。   

-F   --fixed-regexp   #將樣式視為固定字元串的列表。   

-G   --basic-regexp   #將樣式視為普通的表示法來使用。   

-h   --no-filename   #在顯示符合樣式的那一行之前，不標示該行所屬的文件名稱。   

-H   --with-filename   #在顯示符合樣式的那一行之前，表示該行所屬的文件名稱。   

-i    --ignore-case   #忽略字元大小寫的差別。   

-l    --file-with-matches   #列出文件內容符合指定的樣式的文件名稱。   

-L   --files-without-match   #列出文件內容不符合指定的樣式的文件名稱。   

-n   --line-number   #在顯示符合樣式的那一行之前，標示出該行的列數編號。   

-q   --quiet或--silent   #不顯示任何信息。   

-r   --recursive   #此參數的效果和指定「-d recurse」參數相同。   

-s   --no-messages   #不顯示錯誤信息。   

-v   --revert-match   #顯示不包含匹配文本的所有行。   

-V   --version   #顯示版本信息。   

-w   --word-regexp   #只顯示全字元合的列。   

-x    --line-regexp   #只顯示全列符合的列。   

-y   #此參數的效果和指定「-i」參數相同。

4．規則表達式：

grep的規則表達式:

^  #錨定行的開始 如：'^grep'匹配所有以grep開頭的行。    

$  #錨定行的結束 如：'grep$'匹配所有以grep結尾的行。    

.  #匹配一個非換行符的字元 如：'gr.p'匹配gr後接一個任意字元，然後是p。    

*  #匹配零個或多個先前字元 如：'*grep'匹配所有一個或多個空格後緊跟grep的行。    

.*   #一起用代表任意字元。   

[]   #匹配一個指定范圍內的字元，如'[Gg]rep'匹配Grep和grep。    

[^]  #匹配一個不在指定范圍內的字元，如：'[^A-FH-Z]rep'匹配不包含A-R和T-Z的一個字母開頭，緊跟rep的行。    

\(..\)  #標記匹配字元，如'\(love\)'，love被標記為1。    

\<      #錨定單詞的開始，如:'\

\>      #錨定單詞的結束，如'grep\>'匹配包含以grep結尾的單詞的行。    

x\{m\}  #重復字元x，m次，如：'0\{5\}'匹配包含5個o的行。    

x\{m,\}  #重復字元x,至少m次，如：'o\{5,\}'匹配至少有5個o的行。    

x\{m,n\}  #重復字元x，至少m次，不多於n次，如：'o\{5,10\}'匹配5--10個o的行。   

\w    #匹配文字和數字字元，也就是[A-Za-z0-9]，如：'G\w*p'匹配以G後跟零個或多個文字或數字字元，然後是p。   

\W    #\w的反置形式，匹配一個或多個非單詞字元，如點號句號等。   

\b    #單詞鎖定符，如: '\bgrep\b'只匹配grep。  

POSIX字元:

為了在不同國家的字元編碼中保持一至，POSIX(The Portable Operating System Interface)增加了特殊的字元類，如[:alnum:]是[A-Za-z0-9]的另一個寫法。要把它們放到[]號內才能成為正則表達式，如[A- Za-z0-9]或[[:alnum:]]。在linux下的grep除fgrep外，都支持POSIX的字元類。

[:alnum:]    #文字數字字元   

[:alpha:]    #文字字元   

[:digit:]    #數字字元   

[:graph:]    #非空字元（非空格、控制字元）   

[:lower:]    #小寫字元   

[:cntrl:]    #控制字元   

[:print:]    #非空字元（包括空格）   

[:punct:]    #標點符號   

[:space:]    #所有空白字元（新行，空格，製表符）   

[:upper:]    #大寫字元   

[:xdigit:]   #十六進制數字（0-9，a-f，A-F）  

5．使用實例：

實例1：查找指定進程

命令：

ps -ef|grep svn

輸出：

[root@localhost ~]# ps -ef|grep svn

root 4943   1      0  Dec05 ?   00:00:00 svnserve -d -r /opt/svndata/grape/

root 16867 16838  0 19:53 pts/0    00:00:00 grep svn

[root@localhost ~]#

說明：

第一條記錄是查找出的進程；第二條結果是grep進程本身，並非真正要找的進程。

實例2：查找指定進程個數

命令：

ps -ef|grep svn -c

ps -ef|grep -c svn

輸出：

[root@localhost ~]# ps -ef|grep svn -c

2

[root@localhost ~]# ps -ef|grep -c svn 

2

[root@localhost ~]#

說明：

實例3：從文件中讀取關鍵詞進行搜索

命令：

cat test.txt | grep -f test2.txt

輸出：

[root@localhost test]# cat test.txt 

hnlinux

peida.cnblogs.com

ubuntu

ubuntu linux

redhat

Redhat

linuxmint

[root@localhost test]# cat test2.txt 

linux

Redhat

[root@localhost test]# cat test.txt | grep -f test2.txt

hnlinux

ubuntu linux

Redhat

linuxmint

[root@localhost test]#

說明：

輸出test.txt文件中含有從test2.txt文件中讀取出的關鍵詞的內容行

實例3：從文件中讀取關鍵詞進行搜索 且顯示行號

命令：

cat test.txt | grep -nf test2.txt

輸出：

[root@localhost test]# cat test.txt 

hnlinux

peida.cnblogs.com

ubuntu

ubuntu linux

redhat

Redhat

linuxmint

[root@localhost test]# cat test2.txt 

linux

Redhat

[root@localhost test]# cat test.txt | grep -nf test2.txt

1:hnlinux

4:ubuntu linux

6:Redhat

7:linuxmint

[root@localhost test]#

說明：

輸出test.txt文件中含有從test2.txt文件中讀取出的關鍵詞的內容行，並顯示每一行的行號

實例5：從文件中查找關鍵詞

命令：

grep 'linux' test.txt

輸出：

[root@localhost test]# grep 'linux' test.txt 

hnlinux

ubuntu linux

linuxmint

[root@localhost test]# grep -n 'linux' test.txt 

1:hnlinux

4:ubuntu linux

7:linuxmint

[root@localhost test]#

說明：

實例6：從多個文件中查找關鍵詞

命令：

grep 'linux' test.txt test2.txt

輸出：

[root@localhost test]# grep -n 'linux' test.txt test2.txt 

test.txt:1:hnlinux

test.txt:4:ubuntu linux

test.txt:7:linuxmint

test2.txt:1:linux

[root@localhost test]# grep 'linux' test.txt test2.txt 

test.txt:hnlinux

test.txt:ubuntu linux

test.txt:linuxmint

test2.txt:linux

[root@localhost test]#

說明：

多文件時，輸出查詢到的信息內容行時，會把文件的命名在行最前面輸出並且加上":"作為標示符

實例7：grep不顯示本身進程

命令：

ps aux|grep \[s]sh

ps aux | grep ssh | grep -v "grep"

輸出：

[root@localhost test]# ps aux|grep ssh

root   2720  0.0  0.0  62656  1212 ?      Ss   Nov02   0:00 /usr/sbin/sshd

root  16834  0.0  0.0  88088  3288 ?      Ss   19:53   0:00 sshd: root@pts/0 

root  16901  0.0  0.0  61180   764 pts/0  S+   20:31   0:00 grep ssh

[root@localhost test]# ps aux|grep \[s]sh]

[root@localhost test]# ps aux|grep \[s]sh

root   2720  0.0  0.0  62656  1212 ?      Ss   Nov02   0:00 /usr/sbin/sshd

root  16834  0.0  0.0  88088  3288 ?      Ss   19:53   0:00 sshd: root@pts/0 

[root@localhost test]# ps aux | grep ssh | grep -v "grep"

root   2720  0.0  0.0  62656  1212 ?      Ss   Nov02   0:00 /usr/sbin/sshd

root  16834  0.0  0.0  88088  3288 ?      Ss   19:53   0:00 sshd: root@pts/0

說明：

實例8：找出已u開頭的行內容

命令：

cat test.txt |grep ^u

輸出：

[root@localhost test]# cat test.txt |grep ^u

ubuntu

ubuntu linux

[root@localhost test]#

說明：

實例9：輸出非u開頭的行內容

命令：

cat test.txt |grep ^[^u]

輸出：

[root@localhost test]# cat test.txt |grep ^[^u]

hnlinux

peida.cnblogs.com

redhat

Redhat

linuxmint

[root@localhost test]#

說明：

實例10：輸出以hat結尾的行內容

命令：

cat test.txt |grep hat$

輸出：

[root@localhost test]# cat test.txt |grep hat$

redhat

Redhat

[root@localhost test]#

說明：

實例11：輸出ip地址

命令：

     ifconfig eth0|grep -E "([0-9]{1,3}\.){3}[0-9]"

輸出：

[root@localhost test]# ifconfig eth0|grep "[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}"

          inet addr:192.168.120.204  Bcast:192.168.120.255  Mask:255.255.255.0

[root@localhost test]# ifconfig eth0|grep -E "([0-9]{1,3}\.){3}[0-9]"

          inet addr:192.168.120.204  Bcast:192.168.120.255  Mask:255.255.255.0

[root@localhost test]#

說明：

實例12：顯示包含ed或者at字元的內容行

命令：

cat test.txt |grep -E "ed|at"

輸出：

[root@localhost test]# cat test.txt |grep -E "peida|com"

peida.cnblogs.com

[root@localhost test]# cat test.txt |grep -E "ed|at"

redhat

Redhat

[root@localhost test]#

說明：

實例13：顯示當前目錄下面以.txt 結尾的文件中的所有包含每個字元串至少有7個連續小寫字元的字元串的行

命令：

grep '[a-z]\{7\}' *.txt

輸出：

[root@localhost test]# grep '[a-z]\{7\}' *.txt

test.txt:hnlinux

test.txt:peida.cnblogs.com

test.txt:linuxmint

[root@localhost test]#

實例14:日誌文件過大，不好查看，我們要從中查看自己想要的內容，或者得到同一類數據，比如說沒有404日誌信息的

命令：

grep '.' access1.log|grep -Ev '404' > access2.log

grep '.' access1.log|grep -Ev '(404|/photo/|/css/)' > access2.log

grep '.' access1.log|grep -E '404' > access2.log

輸出：

[root@localhost test]# grep 「.」access1.log|grep -Ev 「404」 > access2.log

說明：上面3句命令前面兩句是在當前目錄下對access1.log文件進行查找，找到那些不包含404的行，把它們放到access2.log中,後面去掉』v』,即是把有404的行放入access2.log

Ⅸ 如何在Linux下大量屏蔽惡意IP地址

很多情況下，你可能需要在Linux下屏蔽IP地址。比如，作為一個終端用戶，你可能想要免受間諜軟體或者IP追蹤的困擾。或者當你在運行P2P軟體時。你可能想要過濾反P2P活動的網路鏈接。如果你是一名系統管理員，你可能想要禁止垃圾IP地址訪問你們的公司郵件伺服器。或者你因一些原因想要禁止某些國家訪問你的web服務。在許多情況下，然而，你的IP地址屏蔽列表可能會很快地增長到幾萬的IP。該如何處理這個？

Netfilter/IPtables 的問題
在Linux中，可以很簡單地用netfilter/iptables框架禁止IP地址：
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
如果你想要完全屏蔽一個IP地址段，你可以用下面的命令很簡單地做到：
$ sudo iptables -A INPUT -s 1.1.2.0/24-p TCP -j DROP
然而，當你有1000個獨立IP地址，且不帶CIDR（無類別域間路由）前綴，你該怎麼做？你要有1000條iptable規則！這顯然這並不適於大規模屏蔽。
$ sudo iptables -A INPUT -s 1.1.1.1-p TCP -j DROP
$ sudo iptables -A INPUT -s 2.2.2.2-p TCP -j DROP
$ sudo iptables -A INPUT -s 3.3.3.3-p TCP -j DROP
....

什麼是IP集?
這時候就是IP集登場了。IP集是一個內核特性，它允許多個（獨立）IP地址、MAC地址或者甚至是埠號被編碼和有效地存儲在點陣圖/哈希內核數據結構中。一旦IP集創建之後，你可以創建一條iptables規則來匹配這個集合。
你馬上就會看見IP集合的好處了，它可以讓你用一條iptable規則匹配多個ip地址！你可以用多個IP地址和埠號的方式來構造IP集，並且可以動態地更新規則而沒有性能影響。

在Linux中安裝IPset工具
為了創建和管理IP集，你需要使用稱為ipset的用戶空間工具。
要在Debian、Ubuntu或者Linux Mint上安裝：
$ sudo apt-get install ipset
Fedora或者CentOS/RHEL 7上安裝：
$ sudo yum install ipset

使用IPset命令禁止IP
讓我通過簡單的示例告訴你該如何使用ipset命令。
首先，讓我們創建一條新的IP集，名為banthis（名字任意）：
$ sudo ipset create banthis hash:net
第二個參數(hash:net)是必須的，代表的是集合的類型。IP集有多個類型。hash:net類型的IP集使用哈希來存儲多個CIDR塊。如果你想要在一個集合中存儲單獨的IP地址，你可以使用hash:ip類型。
一旦創建了一個IP集之後，你可以用下面的命令來檢查：
$ sudo ipset list

這顯示了一個可用的IP集合列表，並有包含了集合成員的詳細信息。默認上，每個IP集合可以包含65536個元素（這里是CIDR塊）。你可以通過追加"maxelem N"選項來增加限制。
$ sudo ipset create banthis hash:net maxelem 1000000
現在讓我們來增加IP塊到這個集合中：
$ sudo ipset add banthis 1.1.1.1/32
$ sudo ipset add banthis 1.1.2.0/24
$ sudo ipset add banthis 1.1.3.0/24
$ sudo ipset add banthis 1.1.4.10/24
你會看到集合成員已經改變了。
$ sudo ipset list

以上圖片上傳到紅聯Linux系統教程頻道中。
現在是時候去創建一個使用IP集的iptables規則了。這里的關鍵是使用"-m set --match-set "選項。
現在讓我們創建一條讓之前那些IP塊不能通過80埠訪問web服務的iptable規則。可以通過下面的命令：
$ sudo iptables -I INPUT -m set--match-set banthis src -p tcp --destination-port 80-j DROP
如果你願意，你可以保存特定的IP集到一個文件中，以後可以從文件中還原：
$ sudo ipset save banthis -f banthis.txt
$ sudo ipset destroy banthis
$ sudo ipset restore -f banthis.txt
上面的命令中，我使用了destory選項來刪除一個已有的IP集來看看我是否可以還原它。

Ⅹ Linux系統中Netfilter中的ip包過濾功能的原理、策略管理、匹配原理

這個問題說來話長了，你可以下載Rusty Russell寫的PacketFiltering HOWTO，好是前身ipchains的作者，也是iptables的主要作者。第二是看一下iptables的man頁，網上有中文版的。 簡單的說就是包過濾 包含3個表格：filter過濾，nat地址轉換，mangle 每個表格可以使用對某些鏈的處理方法，和專業防火牆的配置有點象，這里按包的行為分成5個鏈（INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING） 後面是一個目標（ACCEPT,DROP,QUEUE,RETURN等） 對每個包系統先會確定是哪個鏈的，比如進入系統的歸到INPUT鏈等， 對這個鏈再執行鏈里的每個語句（從上到下）如果匹配就執行後面的目標 如iptables -A INPUT -p icmp -j DROP -A 地表裡增一條規則 -p icmp 這條規則匹配icmp報文 -j DROP 如果以上匹配的話就執行目標DROP：把這個包丟掉 這樣別人就ping不到你了 具體情況，還要多看書，有興趣[email protected]一起學習 參考文獻： Rusty Russell Packet Filtering HOWTO

希望採納