Một đặc trưng rất hữu dụng của Iptables là khả năng nhúm cỏc nguyờn tắc quan hệ với nhau vào cựng một chain, cú thể đặt tờn chain bất kỳ mà bạn muốn, nhưng để phõn biệt với chain đó xõy dựng sẵn nờn đặt tờn chain bằng chữ thường. Tờn chain cú thể lờn tới 16 ký tự.
- Tạo chain mới: dựng tuỳ chọn ‘-N’ hoặc ‘new-chain’. - Xoỏ chain: Dựng tuỳ chọn ‘-X’ hoặc ‘delete-chain’.
Cú một cặp giới hạn xoỏ chain: xoỏ rỗng và khụng là mục tiờu của bất kỳ nguyờn tắc nào. Khụng thể xoỏ một trong ba chain được xõy dựng sẵn. Nếu khụng chỉ rừ chain thỡ tất cả cỏc chain do người dựng định nghĩa sẽ bị xoỏ nếu cú thể.
- Liệt kờ một chain: Cú thể liệt kờ tất cả cỏc nguyờn tắc trong một chain bằng lệnh ‘-L’. ‘refcnt’ được liệt kờ cho mỗi chain do người dựng định nghĩa cú số của nguyờn tắc cú chain như là hành động của nú. Chain này phải rỗng trước khi cú thể xoỏ chỳng. Nếu tờn chain bị bỏ qua thỡ tất cả chain được liệt kờ ngay cả chain rỗng.
* Cú 3 tuỳ chọn cú thể đi cựng với ‘-L’
‘-n’ rất hữu dụng để ngăn chặn Iptables cố gắng tỡm kiếm địa chỉ IP, nếu dựng DNS như mọi người thỡ sẽ là nguyờn nhõn lớn nếu DNS khụng được cài đặt đỳng hoặc cú lọc yờu cầu DNS ở ngoài. Nú cũng là nguyờn nhõn port TCP và UDP xuất ra một số khỏc hơn tờn.
‘-v’ cho xem chi tiết tất cả cỏc nguyờn tắc như đếm số packet và số byte, so sanh TOS và giao diện, nếu khụng thỡ giỏ trị này bị bỏ qua. Số lượng packet và số lượng byte được hiển thị sử dụng cỏc hậu tố ‘K’, ‘M’, ‘G’ mụ tả cho 1000, 1000000, 1000000000.
Sử dụng cờ ‘-x’ sẽ in ra tất cả cỏc số.
- Khởi động lại bộ đếm: Nú hữu dụng cho reset bộ đếm. Được thực hiện với lựa chọn ‘-Z’ hoặc ‘--zero’. Vấn đề với cỏch tiếp cận này là thỉnh thoảng cần biết giỏ trị bộ đếm tức thời trước khi reset lại bộ đếm.
- Cài đặt chớnh sỏch: Chỳng ta chỳ thớch toàn bộ cỏi gỡ xảy ra khi một packet vào cuối một chain được xõy dựng sẵn khi chỳng ta thảo luận làm thế nào một packet đi qua cỏc chain trước đú. Trong trường hợp này, chớnh sỏch của chain xỏc định số phận của packet. Chỉ những chain được xõy dựng sẵn (INPUT, OUTPUT, FORWARD) mới cú chớnh sỏch, bởi vỡ nếu packet rơi vào cuối chain của người dựng định nghĩa thỡ nú duyệt trở lại chain trước. Chớnh sỏch cú thể là ACCEPT hoặc DROP.
4.1.3 luật đơn
Đõy là cụng việc hàng ngày của việc lọc packet, vận hành cỏc nguyờn tắc. Với cỏc lệnh hay sử dụng là thờm (-A), chốn (-I), xoỏ (-D) và thay thế (-R) là mở rộng của cỏc khỏi niệm này.
Mỗi nguyờn tắc là một tập hợp cỏc điều kiện mà packet phải gặp, và phải làm gỡ nếu gặp chỳng. Vớ dụ nếu bạn muốn huỷ tất cả cỏc packet ICMP đến từ địa chỉ 127.0.0.1 thỡ trong trường hợp này điều kiện giao thức phải là ICMP địa chỉ nguồn phải là 127.0.0.1 và hành động là ‘DROP’. Và cõu lệnh thực hiện sẽ là
# iptables –A INPUT –s 127.0.0.1 –p icmp –j DROP
Thờm 1 nguyờn tắc vào chain INPUT, một nguyờn tắc chỉ định cho cỏc packet từ 127.0.0.1 ‘-s 127.0.0.1’ với giao thức icmp ‘-p icmp’ và nhảy đến huỷ ‘-j DROP’
Chỳng ta cú thể xoỏ một nguyờn tắc bằng một trong hai cỏch. Nếu chỳng ta biết đú là luật duy nhất trong chain INPUT, chỳng ta cú thể dựng số của nguyờn tắc để xoỏ.
# iptables –D INPUT 1 : Xoỏ nguyờn tắc 1 trong chain INPUT
Cỏch thứ hai là làm giống như lệnh thờm nguyờn tắc nhưng thay –A thành –D. Lệnh này cho phộp chỳng ta xoỏ một nguyờn tắc trong chain cú
# iptables –D INPUT –s 127.0.0.1 –p icmp –j DROP
cỳ phỏp –D phải chớnh xỏc giống như cỏc lựachọn –A (hoặc –I hoặc – R). Nếu cú nhiều nguyờn tắc giống nhau trong một chain thỡ nguyờn tắc đầu tiờn sẽ bị xoỏ.
