Cara pakai Iptables

NAME

iptables – alat administrasi untuk melakukan NAT(Network Access Translation) dan filtering untuk IPv4

Ringkasan

iptables [-t table] -[AD] chain rule-specification [options]
iptables [-t table] -I chain [rulenum] rule-specification [options]
iptables [-t table] -R chain rulenum rule-specification [options]
iptables [-t table] -D chain rulenum [options]
iptables [-t table] -[LFZ] [chain] [options]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target [options]
iptables [-t table] -E old-chain-name new-chain-name

Penjelasan.

Iptables Di gunakan untuk membentuk, merawat, dan memeriksa aturan-aturan dari paket pada kernel linux. Beberapa definisi table yang berbeda. Setiap table berisi chain beberapa chain bawaan dan juga chain yang bisa kita bikin sendiri.

Setiap table berisi aturan-aturan yang cocok dengan dengan sekumpula paket. Aturan-aturan tertendu untuk menjelaskan apa tidakan yang akan di ambil untuk paket-paket yang sesuai dengan rule tersebut. Ini disebut dengan `target’, yang mana bisa jadi akan di lemparkan ke chain-chain yang di definisikan oleh pengguna.

TARGET-TARGET

Sebuah kiteria tertentu dari aturan-aturan sebuah Firewall untuk paket-pake. Jika aturan tidak cocok pada paket tersebut maka rule-rule lain di dalam chain akan memeriksanya; jika cocok, maka akan di lanjutkan ke target, yang mana bisa berupa nama dari chain-chain yang di bikin oleh penguna atau salah satu dari target bawaan iptables yaitu ACCEPT, DROP, QUEUE, or RETURN.

ACCEPT maksudnya membiarkan paket itu lewat. DROP bermaksud tidak mengijinkan paket lewat. QUEUE means to pass the packet to userspace (if supported by the kernel). RETURN bermaksud menghentikan paket melewati chain ini dan dan memulai lagi pada aturan selanjutnya pada chain sebelumnya. Jika akhir dari dari chain bawaan berupa target RETURN yang cocok, target tertentu pada kebijakan chain akan menentukan pelakuan terhadap paket itu.

TABLE-TABLE

Ada tiga table tersendiri (yang mana table pada setiap waktu yang tergantung oleh opsi kernel dan modul-modulnya).

-t, –table table
opsi ini menentukan yang mana table yang cocok untuk paket yang akan di jalankan. Jika kernel di konfigurasi untuk memasukan modul-modul secara otamatis, maka modul-modul akan dimasukan dengan sangat baik.
The tables are as follows:
filter:
ini adalah table difault (jika kita tidak menulis opsi -t ). ini berisi chain-chain bawaan seperti INPUT (untuk paket yang di tujukan pada soket local), FORWARD (Untuk paket yang melewati mesin linux kita, jika di fungsikan sebagai gateway), and OUTPUT (untuk paket-paket dari mesin linux kita jika di fungsikan sebagai gateway).
nat:
table ini berguna ketika paket yang membuat koneksi baru di temukan. Ini berisi dari chain-chain bawaan seperti : PREROUTING (untuk merubah paket secepat paket itu tiba), OUTPUT (untuk perubahakan paket local sebelum dia di Routing), dan POSTROUTING (untuk perubahan paket yang akan keluar).
mangle:
table ini berguna untuk perubahan paket yang dispecialkan. sampai kernel 2.4.17 table ini mempunya dua chain yaitu: PREROUTING (untuk perubahan paket yang datang sebelum terjadinya routing) dan OUTPUT (untuk perubahan paket dari mesin linux kita sebelum routing terjadi). Sejak kernel 2.4.18, ada tiga lagi chain-chain bawaan yang di suport: INPUT (untuk paket yang di tujukan untuk mesin itu sendiri), FORWARD (untuk paket yang melewati mesin itu sendiri), dan POSTROUTING (untuk perubahan paket yang akan keluar setelah routing terjadi).
raw: table ini terutama di gunakan untuk potongan di dalam koneksi tracking dengan kombinasi koneksi yang tidak di TRAK. Ini terdaftar pada kait netfilter dengan prioritas lebih tinggi dan mereka dipanggil sebelum ip_conntrack, atau pada table-table ip yang lain. Table ini memberikan chain-chain berikut ini: PREROUTING (untuk paket yang tiba melalui interface manapun) OUTPUT (untuk paket yang dibentuk secara local)

OPSI-OPSI

Opsi-opsi yang terdaftar di dalam iptables yang bisa dibagi menjadi beberapa group.

PERINTAH-PERINTAH

Opsi-opsi tertentu dari perintah-perintah tertentu. Hanya salah satu dari mereka yang bisa berapada dalam sebuah baris perintah . Dari semua opsi-opsi dan perintah-perintah yang panjang kamu cukup menggunakan huruh untuk memastikan iptables mengenal opsi tersebut.

-A, –append chain anturan-aturan tertentu.
Menambah satu atau lebih aturan-aturan di akhir chain tertentu. Ketika sumber dan tujuan lebih dari satu alamat, sebuah perintah akan di tambahkan sesuai dengan kombinasi alamat yang memungkinkan.
-D, –delete chain anturan-aturan tertentu.
-D, –delete chain nomor dari aturan-aturan
menghapus satu atau lebih dari aturan-aturan pada chain yang di pilih. Ada dua versi dari opsi ini yang mana bisa di tentukan oleh nomor dari aturan itu atau dengan aturan yang cocok.
-I, –insert chain [nomor dari aturan] aturan yang ditentukan.
Memasukan satu atau lebih aturan ke dalam chain yang di pilih berdasarkan nomor baris dari aturan tersebut. Jadi, jika nomor aturannya adalah 1, aturan akan di masukan pada baris pertama di chain. Ini juga akan berlaku jika kita tidak menentukan nomor di chain ketika kita menggunakan opsi ini.
-R, –replace chain nomor dari rule rure-rule tertentu.
Mengganti rule pada chain yang di pilih. Jika sumber dan tujuan mengacu pada banyak alamat, perintah akan gagal. Aturan dimulai dengan nomor satu.
-L, –list [chain]
List dari semua aturan yang dipilih. Jika tidak ada chain yang dipilih, semua chain akan dilist. Seperti perintah iptables lainnya, ini akan berlaku untuk tables yang dipilih (filter adalah default), jadi jika kita ingin menglist table nat kita menulikan perintah seperti di bawah ini:
 iptables -t nat -n -L
perlu di catat ini sering digukanakan dengan opsi -n, untuk mencegah DNS Lookup terlalu lama . Bisa digunakan opsi -Z (zero) , yang mana akan langsung dilist dan dinolkan.
 iptables -L -v
-F, –flush [chain]
Menghapus aturan-aturan di didalam chain (semua chain pada table jika chainya tidak ditentukan). Ini sama juga menghapuskan semua aturan dengan satu persatu.
-Z, –zero [chain]
menolkan semua paket yang telah di hitung dalam byte. Digunakan bersama dengan opsi -L, –list (list). Lihatlah hitungan byte secepatnya sebelum dihapus.
-N, –new-chain chain
Membuat chain baru yang didefinasikan oleh pengguna . Jangan membuat chain yang sama dengan chain bawaan.
-X, –delete-chain [chain]
mendelete chain-chain tertentu yang telah dibuat oleh user. Tidak boleh ada acuan ke chain tersebut. Jika ada, kamu mesti menghapus sebelon chain itu di hapus. Jika opsi ini digunakan tampa argument mengikutinya dia akan menghapus semua chain selain yang bawaan.
-P, –policy chain target
menentukan policy dari chain-chain bawaan untuk mempunyai target. Lihat sesi TARGETS untuk target yang boleh digunakan. Hanya chain-chain bawaan yang bisa mempunyai policy.
-E, –rename-chain old-chain new-chain
mengubah nama chain yang telah user definisikan. Ini tidak akan mempengaruhi struktur dari table.
-h
bantuan. Memberikan penjelasan tentang perintah-perintah.

PARAMETERS

Ini adalah parameter-parameter yang membantu ketikan menentukan aturan (digunakan pada opsi atau perintah add, delete, insert, replace dan append).

-p, –protocol [!] protocol
Protokol dari aturan dan paket yang akan di check. Protokol tertentu yang bisa jadi tcp, udp, icmp, or all, atau bisa juga menjadi sebuah nilai numerik, yang memperkalkan salah satu protokol ini atau protokol yang berbeda. Nama sebuah protokol dari file /etc/protocols juga di ijinkan. argument “!” sebelon protokol itu berarti selain dari protokol itu sendiri. Nilai kosong berarti untuk semua. Protokol akan sesuai dengan apapun jika ini dijalankan.
-s, –source [!] address[/mask]
sumber dari alamat komputer tertentu. Alamat bisa berupa nama jaringan, sebuah hostname(tapi sebagai catatan menggunakan hostname yang terbaca dengan DNS bukan ide yang bagus), sebuah alamat dari sebuah alamat IP (dengan /mask), atau alamat ip yang direncanakan. mask bisa jadi sebuah mask jaringan atau dengan nilai yang telah ditentukan, nilai yang ditentukan di sebelah kiri mask. Yang mana, nilai mask 24 sama dengan 255.255.255.0. Argument “!” sebelon alamat ip ditentukan itu berarti selain dari alamat ip tersebut. Tanda –src adalah tanda lain dari opsi ini.
-d, –destination [!] address[/mask]
alamat tujuan. Coba lihat keterangan opsi -s (source) karena mempunyai gaya penulisan yang sama . tanda –dst adalah tanda lain dari opsi ini.
-j, –jump target
ini adalah menentukan target tertentu dari sebuah aturan;, apa yang akan dilakukan ketika paket sesuai dengan parameter yang telah kita tentukan. Target bisa berupa chain yang user definisikan , selain target yang bawaan, atau sebuah extension (lihat EXTENSIONS dibawah). Jika opsi ini di abaikan pada aturan (dan -g tidak digunakan), aturan-aturan tidak akan berpengaruh apa2 tetapi paketnya tetap dihitung.
-g, –goto chain
proses tertentu yang seharusnya menyambung ke chain yang didefinisikan oleh user. Tidak seperti opsi –jump yang tidak menyambung proses pada chain ini malahah pada chain yang memanggil kita melalui –j
-i, –in-interface [!] name
nama dari interface yang akan menerima paket (hanya untuk paket yang masuk melalui chain INPUT, FORWARD dan PREROUTING ). ketika argumen ini “!” digunakan sebelun interface itu berarti selain interface tersebut. Jika interface di akhiri dengan sebuah “+”, maka semua interface yang namanya dimuali dengan itu akan sesuai. Jika opsi ini diabaikan maka semua interface akan digunakan.
-o, –out-interface [!] name
nama interface dimana paket akan keluar (hanya untuk paket yang masuk ke chain FORWARD, OUTPUT dan POSTROUTING ). selebihnya ini sama dengan penggunaan opsi -i.
[!] -f, –fragment
ini bermaksud mengacu pada pecahan kedua atau selanjunya dari paket yang dipecahkan. Dimana tidak ada cara yang tepat untuk memberitahukan paket untuk ke sumber port atau tujuan port (atau type ICMP ), dimana tidak ada yang cocok dengan paket dari rule-rule yang menspesifikan mereka . Ketika argumen “!” di tulis duluan dibandingkan “-f” , maka aturan akan cocok dengan kepala dari paket pecahan atau paket yang tidak dipecahkan.
-c, –set-counters PKTS BYTES
ini memungkinkan admin untuk menghitung paket(selama menjalankan INSERT, APPEND, REPLACE).

OPSI-OPSI LAINNYA

Berikut ini adalah opsi-opsi tambahan yang bisa dispesifikasikan:

-v, –verbose
opsi ini untuk menunjukan list perintah-peritah , opsi-opsi dari aturan (jika ada),dan TOS mask. Byte paket yang telah dihitung juga di tampilkan, dengan akhiran ‘K’, ‘M’ or ‘G’ untuk 1000, 1,000,000 and 1,000,000,000 secara berturut-turut (lihat opsi -x untuk mengubah tampilan ini). Untuk penambahan, pemasukan, penggantian, penghapusan yang menampilkan informasi atau yang di cetak.
-n, –numeric
tampilan numerik. Alamat ip dan port akan ditampilkan dalam bentuk numerik. Secara default akan dicoba tampilkan berupa hostname, nama network atau services .
-x, –exact
menampilkan nilai yang pasti dari setelah dihitung, bisa jadi berupa angka dari lambang K (perkalian 1000) M (perkalian 1000K) atau G (perkalian 1000M). opsi ini hanya cocok untuk opsi perintah -L.
–line-numbers
ketika aturan-aturan di list, akan ditambahkan angka pada awal aturan-aturan tersebut, yang mana menjadi patokan dari posisi aturan-aturan tersebut dalam sebuah chain.
–modprobe=command
ketika menambahkan atau memasukan aturan-aturan dalam chain, gunakan command untuk memasukan modul-modul penting (targets, match extensions, dan lain-lain).

MATCH EXTENSIONS

Iptables bisa menggunakan peluasan dari paket yang sesuai. Ini dimasukan dengan dua cara: secara emplisit, ketika -p atau –protocol dispesifikasikan, atau dengan opsi -m atau –match , diikuti dengan nama module yang sesuai; setelah ini, variasi-variasi dari opsi-opsi perintah extra akan tersedia , tergantung dari module yang telah dispesifikasikan. Kamu bisa menspesifikan modul-modul tambahan ini perbaris, dan kamu bisa menggunakan opsi -h atau –help setelah modul dispesifikan untuk mendapatkan bantuan tentang opsi yang dispesifikan itu.

Sesuai dengna paket dasar, dan bisa di berikan tanda ‘!’ untuk membuat aturan ini berlaku secara terbalik.

addrtype

Modul ini berdasarkan dari type alamat mereka. Type alamat ini digunakan ketika kernel dari networking dan kategori dari group alamat mentok. Definisi yang tepat pada group-group yang bergantung pada protokol layer tiga yang dispesifikan.

Berikut ini adalah type-type group yang memungkinkan:
UNSPEC
sebuah alamat yang tidak dispesifikasikan (contoh 0.0.0.0) UNICAST sebuah alamat unicast LOCAL, sebuah alamat local BROADCAST a sebuah alamat broadcast. ANYCAST sebuah anycast paket, MULTICAST sebuah multicast dar alamat, BLACKHOLE alamat sebuah blackhole, UNREACHABLE sebuah uncreachable address, PROHIBIT sebuah Prohibit address THROW FIXME NAT FIXME XRESOLVE FIXME
–src-type type
cocok jika type alamat sumber adalah type yang diberikan
–dst-type type
cocok jika alamt tujuan adalah type yang diberikan

ah

Modul ini cocok dengan SPI pada AH header dari paket IPSec .

–ahspi [!] spi[:spi]

childlevel

ini adalah modul penelitian. Modul ini cocok untuk mengetahui paka ini bagian dari koneksi utama atau satu dari koneksi turunan ( atau turunannya lagi, dan seterusnya). Untuk contoh, banyak paket adalah level 0. FTP adalah level 1.

–childlevel [!] level

comment

Memungkinkan kamu untuk menambahkan komentar (sampai 256 karakter) untuk setiap aturan.

–comment comment
contoh:
iptables -A INPUT -s 192.168.0.0/16 -m comment –comment “A privatized IP block”

condition

Ini sesuai jika spesifikasi dari filename /proc adalah ‘0’ atau ‘1’.

–condition [!] filename
nilai boolean yang sesuai di simpan pada file /proc/net/ipt_condition/filename.

connmark

Aturan ini cocok untuk netfilter mark field yang terassosiasi dengan koneksi (yang mana bisa di set dengan target CONNMARK dibawah).

–mark value[/mask]
Paket yang ditandai pada koneksi dengan nilai mark yang telah diberikan(jika mark dispesifikasikan, ini secara logika di AND kan dan ditandai sebelum dibandingkan)

connrate

Module ini sesuai dengan nilai transfer yang sedang berlangsung pada sebuah koneksi.

–connrate [!] [from]:[to]
Yang berlawanan dengan nilai dari transfer koneksi ‘from’ dan ‘to’ dalam byte per detik. Ketika argument “!” digunakan sebelum range, nilai dari itu akan berlawanan.

conntrack

modul ini, ketika di kombinasikan dengan traking dari koneksi, memungkian access lebih ke informasi traking dari pada “state”. (Modul ini bisa dilakukan jika iptables di kompile pada kernel yang support untuk modul ini)

–ctstate state
list dari state koneksi terpisah oleh koma. State INVALID berassosiasi dengan koneksi yang tidak di kenal, ESTABLISHED bermaksud paket yang telah melakukan koneksi dua arah, NEW bermaksud paket yang telah memulai koneksi, atau paket yang telah melakukan koneksi tetapi belon terjadi dalam dua arah, dan RELATED bermaksud paket yang akan melakukan koneksi, tetapi sudah terassosiasi dengan koneksi yang ada, yang mana seperit pentrasferan data dengan FTP, atau sebuah tcp error. SNAT A virtual state, ini berlaku jika almat asal berbeda dengan tujuan yang direply. DNAT A virtual state, berlaku jika tujuan berbeda dengan sumber reply yang berlaku.
–ctproto proto
protokol (dengan nama atau alamat)
–ctorigsrc [!] address[/mask]
sesuatu yang bertentangan dengan maskalamat
–ctorigdst [!] address[/mask]
yang berlawanan dengan alamat tujuan yang asli
–ctreplsrc [!] address[/mask]
yang berlawanan reply alamat
–ctrepldst [!] address[/mask]
bertentangan dengan alamat tujuan yang direply
–ctstatus [NONE|EXPECTED|SEEN_REPLY|ASSURED][,…]
bertentangan dengan bagian internal di dalam kontrak
–ctexpire time[:time]
waktu hidupnya dikembalikan pada kedua pertetangan diberikan pada nila dan range dari nilai

dscp

Modul ini berjalan pada 6 bit DSCP dimana dilihat pada TOS pada IP header. DSCP mempunyai supersed dari TOS dengan IETF.

–dscp value
nilai dscp yang tidak numerik (decimal atau hex) nilai [0-32].
–dscp-class DiffServ Class
dscp pada server yang berbeda. Nilai ini bisa menjadi class BE, EF, AFxx atau CSx. Kemudia ini akan di ubah ke dalam nilai numerik kedua.

dstlimit

Modul ini memungkinkan kamu untuk membatasi jumlah paket per detik (pps) untuk setiap tujuan ip tau dalam bentuk tujuan dari port . Berdasarkan `limit’ setiap tujuan ip dan port akan mempunyai batasan tersendirit.

–dstlimit avg
rata-rata jumlah (paket perdetik kecuali di ikuti dengan /sec /minute /hour dan hari untuk postfixex ).
–dstlimit-mode mode
The limiting hashmode. Is the specified limit per dstip, dstip-dstport tuple, srcip-dstip tuple, or per srcipdstip-dstport tuple.
–dstlimit-name name
nama untuk mengisi file /proc/net/ipt_dstlimit/*
[–dstlimit-burst burst]
nilai paket untuk burst. Default: 5
[–dstlimit-htable-size size]
jumlah tampungan dari hashtable
[–dstlimit-htable-max max]
Nilai tertinggi untuk hashtable
[–dstlimit-htable-gcinterval interval]
jarak antara kumpulan sampah yang berjalan di hashtable (in miliseconds). Default is 1000 (1 second).
[–dstlimit-htable-expire time
waktu untuk masukan yang hanya diam untuk expire(in miliseconds)? Default is 10000 (10 seconds).

ecn

Ini memungkinkan kamu untuk mencocokan bit ECN dari IPv4 dan header TCP . ECN adalah mekanis pengumuman kemacetan seperti ditentukan pada RFC3168

–ecn-tcp-cwr
Iini akan berguna jika bit TCP ECN CWR (Congestion Window Received) di set.
–ecn-tcp-ece
Ini akan berguna jika bite TCP ECN ECE (ECN Echo) di set.
–ecn-ip-ect num
ini berfungsi sebagai partikular dari IPv4 ECT (ECN-Capable Transport). kamu harus menentukan nilai diantara `0′ dan `3′.

esp

Modul ini sesuai dengan SPIs pada ESP header dari paket IPSec.

–espspi [!] spi[:spi]

fuzzy

Modul ini sesuai dengan nilai batas dasar dari fuzzy logic controller [FLC]

–lower-limit number
menentukan limit bawah (dalam packets per second).
–upper-limit number
menentukan di atas limit (dalam packets per second).

geoip

Cocok dengan paket dengan sumber negara sumber dan tujuan.

[!] –src-cc, –source-country country[,country,country,]
paket yang datand dari (satu dari) negara yang ditentukan(ies)
[!] –dst-cc, –destination-country country[,country,country,]
paket yang akan ke (satu dari) negara yang di tentukan(ies)
CATATAN:
negara-negara yang dimasukan oleh codes ISO3166 code. Hnya extra file yang kamu perlukan untuk db binary( (geoipdb.bin) & its index file (geoipdb.idx). Kedua file yang dibentuk oleh negara dan subnet database dengan tool csv2binl, tersedia pada www.cookinglinux.org/geoip/. Kedua file harus bisa juga di pindahkan ke /var/geoip/ sebagai perncarian static untuk pathname (ex.: /var/geoip/geoipdb.bin).

helper

Modul ini cocok dengan paket yang dihubungkan pada conntrack-helper tertentu.

–helper string
cocok paket yang menghubungkan paket dengan conntrack-helper. tertentu
string bisa jadi “ftp” funtuk paket yang berhubungan ftp-session untuk port default.untuk port lainnya tambahkan append -portnr ke nilai , “ftp-2121”.
Beberapa rule dipakai untuk contrack-helpers lainya.

icmp

Extensi ini dimasukan jika f `–protocol icmp’ ditentukan. Dia memberikan opsi berikut ini:

–icmp-type [!] typename
ini digunakan untuk menentukan type dari ICMP, yang mana bisa berupa ICMP type numerik, atau satu dari nama type yang ditunjukan oleh perintah.
 iptables -p icmp -h

ipp2p

Ini adalah modul pada arus P2P tertentu. Ini tidak didesign untuk semua koneksi P2P- gunakan IPP2P bersama dengan CONNMARK untuk penjabarannya. Juga kunjungit http://www.ipp2p.org untuk informasi yang lebih detail.

Menggunakannya bersama dengan -p tcp atau -p udp untuk hanya mencari protokol ini atau tanpa -p memindahkan pencarian paket dan protokols.

IPP2P memberikan opsi berikut ini:

–edk
untuk digunakan dengan semua paket eDonkey/eMule.
–kazaa
digunakan untuk paket KaZaA yang memungkinkan.
–gnu
banyak paket yang sesuai dengan paket Gnutella.
–dc
sesuai dengan Direct Connect.
–bit
cocok dengan paket BitTorrents.
–apple
coock dengan paket AppleJuice.
–soul
sesuai dengan paket SoulSeek. Dipertimbangkan sebagai ujicoba, hati-hati menggunakan!
–winmx
mencocokan dengan beberapa paket WinMX. Mempertimbangkan sebagai beta, hati-hati penggunaannya.
–ares
cocok dengan paket Ares dan AresLite. Hanya digunakan bersama dengan -j DROP.
–ipp2p
singkatan untuk r: –edk –kazaa –gnu –dc
–debug
mencetak beberapa informasi tentang setiap hit didalam logfile kernel. Bisa dihasilkan logfile huge jadi hati-hati!

iprange

Ini berguna pada range address Ipv4.

[!]–src-range ip-ip
sumber IP pada rangge yang ditentukan
[!]–dst-range ip-ip
range ip tujuan

length

Modul ini berguna pada panjang paket yang tidak sesuai dengan nilai atau range dari sebuah nilai

–length length[:length]

limit

Modul ini coccok pada pembatasan nilai dengan menggunakan keranjang filter. Sebuah aturan menggunakan extensi ini akan cocok sampai batasan yang diterima (kecuali tanda `!’ digunaakn). Dia bisa dikombinasikan dengan target log untuk memberikan batasan log, untuk contoh.

–limit rate
nilai rata-rata maksimum: di tentukan dengan nilai tertentu, dengan opsi yang diakhiri `/second’, `/minute’, `/hour’, atau `/day’ ; dan nilai defaultnyna adalah 3/hour.
–limit-burst number
Nilai maksimun yang diinisialkan untuk paket yang cocok: nilai ini didapatkan seteiap waktu dari limit yang ditentukan diaatas tidak akan diterimaa, sampai nilai ini; default adalah 5.

mac

–mac-source [!] address
ini mesti berbertuk XX:XX:XX:XX:XX:XX. Catatan yang mana hanya paket yang datang dari ethernet yang masuk ke masuk ke chain PREROUTING, FORWARD or INPUT.

mark

Modul ini akan cocok jika mak netfilter berasosiasi dengan paket(yang mana bisa digunakan untuk MARK target dibawah).

–mark value[/mask]
Matches packets with the given unsigned mark value (if a mask is specified, this is logically ANDed with the mask before the comparison).

mport

Modul ini untuk mengatur kumpulan port sumber dan tujuan. Sampai 15 port yang bisa ditentukan. digunakan bersama dengan -p tcp or -p udp.

–source-ports port[,port[,port…]]
cocok jika port sumber sesuai dengan kompulan port pada aturan ini. Bisa ditulis –sports
–destination-ports port[,port[,port…]]
ocok jika port stujuan esuai dengan kompulan port pada aturan ini. Bisa dituli –dports i
–ports port[,port[,port…]]
cocok jika port sumber dan tujuan sesuai dengan satu sama lainya yang diberikan pada ports.

multiport

Modul ini untuk mengatur kumpulan port sumber dan tujuan. Sampai 15 port yang bisa ditentukan. digunakan bersama dengan -p tcp or -p udp.

–source-ports port[,port[,port…]]
cocok jika port sumber sesuai dengan kompulan port pada aturan ini. Bisa ditulis –sports
–destination-ports port[,port[,port…]]
ocok jika port stujuan esuai dengan kompulan port pada aturan ini. Bisa dituli –dports i
–ports port[,port[,port…]]
cocok jika port sumber dan tujuan sesuai dengan satu sama lainya yang diberikan pada ports.

nth

Modul ini cocok untuk setiap paket NTH

–every value

sesuai dengan setiap nilai pakett
[–counter num]
menggunakan nilai hitungan sendiri ‘. Defaultnya adalah `0’.
[–start num]
Menginisialkan perhitungan pada nilai untuk `0′. diantara`0′ dan `value’-1.
[–packet num]
cocok pada paket `num’. Diantara `0′ dan `value’-1.

owner

Modul ini mencoba mencocokan karakter dari varisaipembuat paet, untuk paket yang dibentuk secara local. Ini hanya bisa dijalankan pada chain INPUT, OUTPUT dan POSTROUTING , bagaimanapun chain INPUT hanya paket TCP dan UDP yang cocok. Juga dicatat beberapa paket(yang mana respons dari ping ICMP) tidak mempunyai pemilik jadi tidak akan cocok.

–uid-owner userid
cocok jika paket yang di buat oleh proese yang diberikan oleh id pengguna yang effectiv.
–gid-owner groupid
cocok jika paket yang dibuat oleh proese dengan memberikan id group yang effective,
–pid-owner processid
cocok jika paket dibuat oleh proses dengan diberikan id proses.
–sid-owner sessionid
cocok jika paket yang dibuat oleh proese yang diberikan group sesi.
–cmd-owner name
cocok jika paket yang dibuat oleh proses yang diberikan nama perintah ( ini hanya bisa dengan menggunakan linux yang di kompile dengan kernel yang mendukung opsi ini)
NOTE: pid, sid dan perintah yang cocok dirusak pada SMP

physdev

Modul ini hanya bekerja pada bridge port pada input dan otput dari alat brigde . Modul ini adalah bagian dari infrastructure yang mana mengenablekan transparent bridging IP firewall dan hanya digunakn untuk kernel versi diatas 2.5.44.

–physdev-in name
Nama dari port bridge yang mana paket akan diterima (hhanya paket yang masuk ke chain INPUT, FORWARD danPREROUTING). Jika nama interface berakhir dengan sebuah “+”, maka interface apapun yang dimulai dengan nama ini akan cocok. Jika paket tidak tiba melalui sebuah divice bridge maka tidak akan cocok kecuali tanda ‘!’ di gunakan.
–physdev-out name
Name of a bridge port via which a packet is going to be sent (for packets entering the FORWARD, OUTPUT and POSTROUTING chains). If the interface name ends in a “+”, then any interface which begins with this name will match. Note that in the nat and mangle OUTPUT chains one cannot match on the bridge output port, however one can in the filter OUTPUT chain. If the packet won’t leave by a bridge device or it is yet unknown what the output device will be, then the packet won’t match this option, unless
–physdev-is-in
Matches if the packet has entered through a bridge interface.
–physdev-is-out
Matches if the packet will leave through a bridge interface.
–physdev-is-bridged
Matches if the packet is being bridged and therefore is not being routed. This is only useful in the FORWARD and POSTROUTING chains.

pkttype

Modul ini hanya bekerja pada type paket link-layer packet.

–pkt-type [unicast|broadcast|multicast]

policy

Modul ini cocok dengan kebijakan yang digunakan dengan Ipsec untuk menangani paket.

–dir in|out
digunakan untuk memilih apapun kebijakan yang cocok untuk di bungkus atau kebijakan tidak. Ini valid pada chain masuk ke PREROUTING, INPUT dan FORWARD ,keluar dari chainPOSTROUTING, OUTPUT dan FORWARD.
–pol none|ipsec
jika paket adalah subject untuk di proses oleh Ipsec.
–strict
memilih apapun kebijakan tepat atau cocok jika ada aturan yang telah diberikan kebijakan.
–reqid id
Reqid yang cocok dari aturan kebijakan, reqid bisa ditentukan dengan setkey(8) atau menggunakan unique:id sebagai tingkatan
–spi spi
SPI yang cocok dengan SA.
–proto ah|esp|ipcomp
cocok dengan paket pemaketan
–mode tunnel|transport
cocok pada mode pemaketan.
–tunnel-src addr[/mask]
cocok dengan address sumber dari tunnel, hanya cocok digunakan dengan tunnel –mode.
–tunnel-dst addr[/mask]
cocok dengan address tujuan dari tunel, hana valid dengan tunel –mode .
–next
Memulai element selanjutnya pada kebijakan. Hanya bisa digunakan dengan –strict

random

Modul ini cocok semua paket pada persentasi tertentu

–average percent
diberikan dengan persentasi. Jika diabaikan, sebuah probabilitas dari 50 % akan diset.

realm

Ini sesuai dengan Realm routing. Routing relam digunakan sebagai settingan dari routing complek yang melibatkan routing protokol dinamik serperti BGP.

–realm [!]value[/mask]
masc diberikan nilai realm (dan opsi dari mask).

set

Modul ini cocok dengan kumpulan IP yang didefinisikan olehipset(8).

–set setname flag[,flag…]
dimana flag adalah src dan/atau dst dan tidak lebih dari besar 6 dari mereka. perintahnya
 iptables -A FORWARD -m set --set test src,dst
Paket-paket akan cocok (tergantung pada type yang diset) dengan port dan address dari paket yang bisa ditemukan yang sesuai dengan paket yang diset. Jika ada pemasukan untuk menjadi cocok atau dimasukan default yang telah diset, kemudian rule akan cocok dengan paket yang ditambahkan untuk address dan port tujuan dari paket yang ditemukan menurut yang dimasukan.

state

Modul ini dikombinasika dengan tracking dari koneksi, yang memungkinkan untuk mentracking state koneksi dari paket ini.

–state state
Dimana list state dipisahkan dengan koma, state yang memungkinkan adalah INVALID yang mana bermaksud paket tidak bisa di indentifikasi karena beberapa alasan yang mana berjalan di luar memori atau error ICMP yang tidak akan dikenali oleh koneksi, ESTABLISHED bermaksud paket yang berasosiasi dengan koneksi yang keduanya sudah melihat koneksi masing-masing dari dua arah, NEW bermaksud paket yang telah memulai sebuah koneksi baru, atau dengan kata lain telah berasosiate dengan koneksi yang belon melihat koneksi dari paket dalam dua arah, dan RELATED yang bermaksud yang mana paket sedang memulai koneksi bar, tetapi dengan koneksi yang telah exist, yang mana seperti FTP di transfer data, atau sebuah ICMP error.

tcp

Extensi ini akan dimasukan jika `–protocol tcp’ ditentukan.TCP mempunya opsi-opsi sebagai berikut:

–source-port [!] port[:port]
Port dan range port sumber yang ditentukan. Ini bisa jadi nama service dari sebuah nomor port. Urutan range bisa juga ditentukan, menggunakan format port:port. Jika port awal di abaikan nilai “ 0” akan di asumsikan; jika nilai terkahir yang di abaikan, nilai port “65535” n akan diasumsikan .jika port kedua lebih besar dari yang pertama mereka akan ditukar. Juga bisa ditulis dengan flag –sport i
–destination-port [!] port[:port]
port atau range port tujuan yang ditentukan. Bisa juga ditulis dengan –dport.
–tcp-flags [!] mask comp
Sesuai jika TCP flag ditentukan. Argument pertama yang seharunya kita perjelas, ditulis dengan koma sebagai pemisah, . Flags are: SYN ACK FIN RST URG PSH ALL NONE. Contoh perintahnya
 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
ini hanya cocok dengan paket kumpulan SYN, dan ACK, FIN, dan RST tidak diset.
[!] –syn
Hanya jika TCP paket dengan bit SYN di set dan bit ACK dan RST telah dibersihkan. Yang mana paket yang digunakan untuk meminta inisialisasid ari koneksi TCP; untuk contoh, coba block paket yang datang ke interface akan mencegah koneksi TCP, tetapi tidak berpengaruh pada tcp ip yang akan keluar. Ini sama dengan –tcp-flags SYN,RST,ACK SYN. Jika ditanda dengan “!” sebelum tanda “–syn”, itu akan berarti berlawanan.
–tcp-option [!] number
berlaku jika opsi TCP digunakan.
–mss value[:value]
Paket TCP SYN atau SYN/ACK dengan nilai MSS(atau range) tertentu, yang mengendalikan ukaran maksimum dari ukuran paket pada suatu koneksi.

tcpmss

Ini TCP MSS (maximum segment size) pada header TCP. Kamu hanya bisa menggunakan ini dengan paket TCP SYN atau SYN/ACK , MSS hanya terjadi ketika hanshake pada waktu permulaan koneksi.

[!] –mss value[:value]
memberikan nilai dan range dari TCP MSS.

time

Ini ococok ketika time/date pada range yang telah diberikan cocok.

–timestart value
cocok jika hanya melewati `value’ (Inclusive, format: HH:MM ; default 00:00).
–timestop value
cocok hanya jika sebelum `value’ (Inclusive, format: HH:MM ; default 23:59).
–days listofdays
Hanya cocok jika hari merupakan salah satu hari yang ditentukan (format: Mon,Tue,Wed,Thu,Fri,Sat,Sun ; default everyday)
–datestart date
Cocok hanya jika setelah `date’ (secara berturut-turut, format: YYYY[:MM[:DD[:hh[:mm[:ss]]]]] ; h,m,s start from 0 ; default to 1970)
–datestop date
Cocok jika hanya sebelum `date’ (secara berturut-turut, format: YYYY[:MM[:DD[:hh[:mm[:ss]]]]] ; h,m,s start from 0 ; default to 2037)

tos

Modul ini cock untuk type 8 bit dari type service pada header IP.

–tos tos
Argumen ini adalah standar, (lihatiptables -m tos -h
untuk listnya), atau nilai numerik yang cocok 

ttl

Modul ini hanya untuk time to live pada header IPr.

–ttl-eq ttl
memberikan nilai TTL.
–ttl-gt ttl
Cocok jika TTL lebih besar dari nilai yang diberikan untuk TTL.
–ttl-lt ttl
Cocok jika TTL lebih kurang dari nilai TTL.

udp

Extensi yang digunakan ketika `–protocol udp’ ditentukan. Mempunya beberapa opsi seperti berikut ini:

–source-port [!] port[:port]
port atau range port sumber yang ditentukan. Lihat penjelasan opsi –source-port pada extensi TCP untuk lebih mendetail.
–destination-port [!] port[:port]
port atau range port tujuan yang ditentukan.lihat juga penjelasan opsi –destination-port dari extensi TCP untuk lebih detail.

unclean

Modul ini tidak mempunyai opsi, tetapi mencoba untuk mencocokan paket dengan malformed dan paket yang tidak biasa. Ini masih dalam ujicoba,

TARGET EXTENSIONS

Iptables bisa digunakan untuk memperluas modul target. Berikut ini yang termasuk dalam distribusi standar.

BALANCE

Ini memungkinkan kamu untuk meng-DNAT koneksi dengan cara memberikan range dari address tujuan.

–to-destination ipaddr-ipaddr
range dari address.

CLASSIFY

Module ini memugkinkan kamu untuk mengset skb->nilai prioritas (menentuka paket ke dalam class CBQ ).

–set-class MAJOR:MINOR
Mengset nilai class Mayor dan minor.

CLUSTERIP

Modul ini memungkinkan kamu untu mengkonfigurasi cluter sederhana pada node yang mana dibutuhkan untuk untuk membagi ip dan mac address tanap load balancer yang nyata didepan mereka. Koneksi secara statik didistribusikan diantara node-node pada cluter ini.

–new
membuat ClusterIP baru. Kamu harus mengeset ini selalu pada aturan pertama dari ClusterIP..
–hashmode mode
Menentukan hashing mode. Yang harus menjadi satu dari sourceip, sourceip-sourceport, sourceip-sourceport-destport
–clustermac mac
Menentukan address mac ClusterIP. Harus mejadi address link-layer multicast.
–total-nodes num
Nilai total node dari cluster ini.
–local-node num
Nilai local not dari cluster ini.
–hash-init rnd
Menentukan pencarian acak untuk inisialisai hash.

CONNMARK

Modul ini mengset nilai mark netfilter yang berasosiasi dengan koneksi.

–set-mark mark[/mask]
Set koneksi mark. Jika sebuah mask ditentukan kemudian hanya bit yang sesuai dengan mask yang akan di ubah.
–save-mark [–mask mask]
Menyalin nilai paket netfilter yang ditandai ke koneksi yang ditandai. Jika sebuah mask ditentukan maka hanya bit mask tersebut yang akan disalin.
–restore-mark [–mask mask]
Menyalin nilai makr koneksi ke paket. Jika sebuah mask ditentukan hanya bit tersebut yang akan di salin. Ini hanya berjalan pada tabel mangle.

DNAT

Target ini hanya bisa digunakan pada table nat di dalam chain PREROUTING dan OUTPUT, dan chain yang dibikin oleh pengguna dan dipanggil pada chat tersebut. Ini menentukan address tujuan yang mestinya diubah (dan semua fiture dari paket pada koneksi ini akan di tandai), dan aturan seharusnya menjelaskan perubahaanya . Seperti dibawah ini:

–to-destination ipaddr[-ipaddr][:portport]
yang mana bisa menentukan address tujuan tunggal, atau range address tujan pada masing masing address tujuan di dalam range address, port(yang hanya bisa digunakan bersama opsi -p tcp atau -p udp). Jika range port tidak ditentukan maka tidak akan ada perubahaan port.
Kamu bisa menambah opsi –to-destination. Jika kamu menentukan lebih dari satu address tujuan.

DSCP

Target ini memungkinkan perubahan nilai dari bit DSCP dengan header TOS dari paket IPV4. Seperti memanipulasi paket ini, dia hanya digunakan pada tabel mangle.

–set-dscp value
Mengset nilai numerik dari DSCP (bisa jadi desimal atau hexadesimal)
–set-dscp-class class
Mengset DSCP ke class DiffServ.

ECN

Target ini memungkinkan untuk pemilihan pekerjaan diketahui sebagai blackhole ECN. Ini hanya dapat digunakan pada tabel mangle

–ecn-tcp-remove
Membuang semua bit ECN dari header TCP. Tentunya hanya digunakan bersama dengan opsi -p tcp.

LOG

Menyalakan pentatan paket yang cocok pada kernel. Ketika opsi ini di set pada sebuah aturan kerel linux akan mencetak semua informasi paket yang cocok dengan rule secara detil(seperti ipheader)melalui log dikernel (yang mana bisa di baca di dmesg atau syslogd(8)). Ini bukanalah target untuk menghentikan rule, rule tetap berjalan pada rule berikutnya. Jadi jika kamu ini mencatat informasi paket yang kamu tolak, kamu menggunakan dua aturan yang terpisah dengan target berbeda yaitu LOG dan DROP(atau REJECT).

–log-level level
Tingkatang dari Log (numeric or see syslog.conf(5)).
–log-prefix prefix
Akhiran dari pesan log yang mana ditentukan panjangnya lebih dari 29 angka, yang mana penting untuk pesan yang berbeda pada log.
–log-tcp-sequence
mengcatat nilai rakaian dari TCP. Ini adalah catatan resiko securiti jika catatan bisa di baca oleh pengguna-pengguna.
–log-tcp-options
opsi untuk mencatat header dari paket TCP.
–log-ip-options
opsi untuk mencatat dari header ip dari paket.
–log-uid
mencatat user id dari proses yang membentuk sebuah paket.

MARK

Ini digunakan untuk menandakan nilai dari paket yang berasosiasi dengan netfilter. Ini hanya berjalan pada tabel mangle. Bisa digunakan bersamaan dengan iproute2.

–set-mark mark

MASQUERADE

Target ini hanya bisa berjalan pada table nat, pada chain POSTROUTING. Ini seharusnya hanya di gunakan pada ip yang diberikan secara dhcp: jika kamu mempunya ip address yang static, sebaiknya kamu menggunakan target SNAT. Masquerading sama dengan memetakan sebuah ip address tertentu pada interface untuk paket keluar, tetapi juga berefek pada konesi yang telah lupa klo interafenya tidak menyala. Ini sangat baik ketika dialup berikutnya tidak mempunya alamat interface(dan dimana koneksi yang udah tejadi dalam dua raha akan hilang). Ini hanya mempunyai satu opsi:

–to-ports port[-port]
ini adalah range dari source port, mengabaikan pencarian dari source port pilihan default pada SNAT (lihat di atas). Ini hanya bisa digunakan dengan opsi -p tcp atau -p udp.

MIRROR

Ini merupakan target demonstrasi eksperimental yang meliputi sumber dan lapangan di Header IP tujuan dan mentramisikan ulang paket. Ini hanya valid di dalam chain INPUT, FORWARD dan PREROUTING dan rantai yang didefinisikan oleh pengguna yang hanya dipanggil dari chain-chain tersebut.

NETMAP

Target ini memungkinkan kamu untuk secara static memetakan address network ke address network lainnya. Ini hanya bisa digunakan pada tabel nat.

–to address[/mask]
network address yang dialamatkan. Akan menghasilkan address network yang dibentuk sebagai berikut: setiap ‘one’ bits pada mask akan diisikan pada semua bit dan yang nol akan diisikan address asli.

NOTRACK

Target ini mendisablekan pelacakan koneksi untuk sebua paket yang sesuai dengan rule tersebut.

Ini hanya bisa digunakan pada table raw.

REDIRECT

Target ini hanya berjalan pada table nat, pada chain PREROUTING dan OUTPUT , dan user yang didefinisikan oleh user yang dipanggil oleh chain-chain diatas. Ini mengubah tujuan IP address yang mengirim paket ke mesin itu sendiri (locally-generated packets akan dipetakan ke address 127.0.0.1). ini menggunakan satu ops:

–to-ports port[-port]
Ini menentukan tujuan port atau range port untuk digunakan: tanpa ini , tujuan port tidak akan berubah. Ini juga akan berjalan jika ada opsi -p tcp atau -p udp.

REJECT

Ini digunakan untuk mengirimkan kembali pesan error sebagai respon dari paket yang dikirimakan: dengan kata lain ini sama dengan DROP yang mana TARGET untuk menghentikan, akhir dari tranfer sebuah aturan. Target ini hanya bisa digunakan pada chain INPUT, FORWARD dan OUTPUT , dan chain yang dibikin oleh user yang dipanggil pada chain-chain diatas tersebut. Opsi berikut ini mengatur pesan error yang akan dikembalikan:

–reject-with type
type yang bisa digunakan
 icmp-net-unreachable
 icmp-host-unreachable
 icmp-port-unreachable
 icmp-proto-unreachable
 icmp-net-prohibited
 icmp-host-prohibited or
 icmp-admin-prohibited (*)
pesan error yang dikembalikan sesuai dengan ICMP (port-unreachable sebagai default). Opsi tcp-reset hanya bisa digunakan pada protokol TCP : ini dikarenakan paket TCP RST yang akan dikirimkan kembali. Ini sangat berguna untuk mencegah pemeriksaan (113/tcp) yang mana biasanya terjadi pada pengiriman email ke host mail yang rusak (yang mana email yang tidak diijikan oleh email anda).
(*) menggunakan icmp-admin-prohibited dengan email yang tdiak mengsupportnya akan mejadi target DROP ketimbang REJECT

ROUTE

Ini digunakan untuk menyampingkan keputusan dari inti routing yang mentok. Table mangle.

–oif ifname
Routeing paket melalui inteface network `ifname’.
–iif ifname
Menukar inteface untuk paket datang ke `ifname’
–gw IP_address
Routing paket via gateway ini.
–continue
Berlaku sebagai sebuah target non-terminating target dan dilanjutakan ke aturan-aturan. Not tidak sesuai dengan kombinasi `–iif’ atau `–tee’
–tee
Membuat salinan dari paket, dan mengirimkan salinan tersebu ke tujuan yang diberikan.. untuk paket yang asli, menjadi sebuah paket non-terminating targetdan akan dilanjutkan untuk ditransfer ke aturan-aturan. Tidak sesuai di kombinasikan dengan `–iif’ atau `–continue’

SET

Ini module menambhakan atau/dan menghapus masukan dari kumpulan ip yang bisa didefinisikan oleh ipset(8).

–add-set setname flag[,flag…]
add the address(es)/port(s) of the packet to the sets
–del-set setname flag[,flag…]
delete the address(es)/port(s) of the packet from the sets, where flags are src and/or dst and there can be no more than six of them.
The bindings to follow must previously be defined in order to use
multilevel adding/deleting by the SET target.

SNAT

Target ini hanya bekerja pada table nat, pada chain POSTROUTING. Ini akan menentukan apakah source address akan dimodifikasi (dan semua fiture pada paket ini akan di tandai), dan aturan harus jelas, ini salah satu contoh dari opsi:

–to-source ipaddr[-ipaddr][:portport]
yang mana bisa menentukan sebuah sourec ip address tunggal, masing-masing pada sebuah range IP, dan masing-masing ip address, secara opsi, sebuah range port (yang mana hanya bisa dipakai pada aturan yang menentukan -p tcp atau -p udp). Jika tidak ditentukan range port, maka port source dibawah 512 akan di petakan ke port lain dibawah 512: itu antara 512 dan 1023 masisng akan di petakan ke port di bawah 1024, dan port lainya akan di petakan 1024 atau port diatasya. Dimanana memungkinkan tidak ada perubahan port terajadi.
Kamu bisa menambahkan beberapa opsi –to-source. Jika kamu menentukan lebih dari satu source address, melalui satu address atau banya, ke opsi –to-source, sebuah round-robin sederhana (satu setelah perputaran yang lain selesai) akan ditempatkan diantara address.

TCPMSS

Target ini memungkinkan untuk mengubah nilai MMS dari paket TCP SYN, untuk mengatur ukuran maksimum dari koneksi (biasanya membatasinya pada MTU interface keluar paling kecil 40). Of ini bisa digunakan sebagai kata sambung dari opsi -p tcp.
Target ini digunakan untuk mencegah kejahatan terhadap ISP atau server yang mana menjatuhkan pecahan icmp yang dibutuhkan oleh paket. Ini bekerja baik dari firewall/router, tetapi menjadi masalah karena yang dibawah router tidak bisa bertukaran paket dengan ukuran besar:

1)
Webroser terkonek, kemudian hang tanpa menerima data apapun.
2)
email kecil berkerja dengan baik, tetapi email besar akan hang.
3)
ssh bekerja dengan baik, tetapi scp akan hang setelah menginesialkan handshaking.

Workaround: aktifkan opsi-opsi ini dan tambahkan sebuah aturan untuk konfigurasi firewall mu:

 iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
             -j TCPMSS --clamp-mss-to-pmtu
–set-mss value
meng-set opsi MSS dengan nilai tertentu.
–clamp-mss-to-pmtu
pencepit automatis MSS nilai untuk (path_MTU – 40).
opsi ini tersendiri satu samalainnya.

TOS

Ini digunakan untuk meng-set type service 8 bit pada ip header. Ini hanya valid pada table mangle.

–set-tos tos
kamu bisa menggunakan nilai numerik, atau menggunakan
 iptables -j TOS -h
untuk melihat nilai tos yang bisa di pakai

TRACE

Target ini tidak mempunyai opsi. Ini hanya menyalakan trace dari paket untuk semua paket yang coock dengan aturan ini.

TTL

Ini digunakan untuk memodifikasi nilai TTL pada Ipv4. TTL yang menentukan berapa banyak hop-hop(Router) yang bisa dilalui oleh paket sampai time to live dilewati.

Meng-set dan menambah TTL bisa sangat berbahya, jadi seharusnya tidak dilakukan.
Jangan pernah meng-set atau menambahkan nilai dari paket yang akan meninggalkan jaringan kamu!
Table mangle.
–ttl-set value
mengatur nilai dari TTL.
–ttl-dec value
pengurangan waktu TTL.
–ttl-inc value
penambabhan waktu TTL.

ULOG

Target ini memberikan besar tempat pencatatan dari paket yang cocok. Ketika target ini di buat untuk sebuah aturan, kernel linux akan mengirim paket ini melalui soket netlink. Satu atau lebih proses akan menjadi variasi group-group dan menerima paket. Seperti LOG, ini bukanlah “perhentian targe”, jadi aturan dilanjutkan lagi pada aturan selanjutnya..

–ulog-nlgroup nlgroup
ini adalah group netlink (1-32) untuk paket mana yang akan dikirim. Nilai default adalah 1.
–ulog-prefix prefix
Prefix log messages dengan ujung tertentu; panjangnya diatas 32 karakter, dan sangat berguna untuk pesan-pesan yang berbeda pada log.
–ulog-cprange size
Nilai yang disalinkan ke pengguna. Nilai 0 selalu menyalin paket yang masuk, tidak untuk ukurannya. Default adalah 0.
–ulog-qthreshold size
banyak paket yang mengantri di dalam kernel. Bbuat nilai ini 10 untuk akumulasi 10 paket di dalam kernel dan mengirim mereka sebagai satu netlink dengan pesan banyak bagian ke tempat pengguna. Nilai defaultnya adalah 1.

DIAGNOSIS

Variasi pesan error yang ditampilkan pada error standar. Code keluar adalah 0 untuk fungsi yang benar. Error-error muncul dikarenakan oleh oleh kesalahan atau pemakaian yang salah dari parameter baris perintah maka kode keluarnya adalah 2, dan error lainnya dengan kode keluar 1.

BUGS

Bugs? What’s this?😉 Well… the counters are not reliable on sparc64.

KOMPABILITAS DENGAN IPCHAIN

iptables sangat mirip dengan ipchains yang di buat oleh Rusty Russell. Perbedaan utama pada chain INPUT dan OUTPUT yang hanya membawa paket yang datang ke host local dan mula-mula dari host local masing-masing. Oleh karena itu setiap paket hanya melewati satu dari ketiga chain(kecuali traffik loopback, yang mana melibatkan kedua chain INPUT dan OUTPUT); sebelumnya melewatkan paket yang akan melalui ketiganya.

Perbedaan lainnya adalah -i mengacu ke interface input dan -o mengacu ke interface output dan keduanya tersedia pada chain FORWARD.

iptables hanya berfungsi sebagai penyaring paket ketika kita menggunakan table default`filter’ , dengan modul-modul tambahan. Ini seharusnya sangat mudah dari combinasi IP masquerading dan penyaringan paket yang kita temukan sebelummnya. jadi opsi berikut ini akan ditangani dengan berbeda:

 -j MASQ
 -M -S
 -M -L

ada beberapa perubahan di iptables.

Artikle ini di translate dari site http://iptables-tutorial.frozentux.net/other/iptables.html

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: