1. ping
簡(jiǎn)介
ping屬于一個(gè)通信協(xié)議,是TCP/IP協(xié)議的一部分。它的原理是:利用網(wǎng)絡(luò)上機(jī)器IP地址的唯一性,給目標(biāo)IP地址發(fā)送一個(gè)數(shù)據(jù)包陶珠,通過(guò)對(duì)方回復(fù)的數(shù)據(jù)包來(lái)確定兩臺(tái)網(wǎng)絡(luò)機(jī)器是否連接相通,時(shí)延是多少享钞。
示例
[root@192 ~]# ping www.baidu.com
PING www.baidu.com (36.152.44.95) 56(84) bytes of data.
64 bytes from 36.152.44.95 (36.152.44.95): icmp_seq=1 ttl=128 time=11.2 ms
64 bytes from 36.152.44.95 (36.152.44.95): icmp_seq=2 ttl=128 time=12.5 ms
64 bytes from 36.152.44.95 (36.152.44.95): icmp_seq=3 ttl=128 time=12.2 ms
^C
--- www.baidu.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 11.284/12.017/12.501/0.534 ms
- 返回內(nèi)容包括:
1)ping目標(biāo)主機(jī)的域名和IP(ping會(huì)自動(dòng)將域名轉(zhuǎn)換為IP)
2)不帶包頭的包大小和帶包頭的包大小
3)icmp_seq:ping序列揍诽,從1開(kāi)始;如果數(shù)字不是按順序遞增也就意味著丟包了;
ttl:剩余的ttl(Time To Live暑脆,TTL由IP數(shù)據(jù)包的發(fā)送者設(shè)置交排,在IP數(shù)據(jù)包從源到目的的整個(gè)轉(zhuǎn)發(fā)路徑上,每經(jīng)過(guò)一個(gè)路由器饵筑,則把該TTL的值減1埃篓,然后再將IP包轉(zhuǎn)發(fā)出去。如果在IP包到達(dá)目的IP之前根资,TTL減少為0架专,路由器將會(huì)丟棄收到的TTL=0的IP包,并向IP包的發(fā)送者發(fā)送 ICMP time exceeded消息玄帕,以防止數(shù)據(jù)包不斷在IP互聯(lián)網(wǎng)絡(luò)上永不終止地循環(huán)部脚。);
time: 響應(yīng)時(shí)間,數(shù)值越小裤纹,聯(lián)通速度越快委刘;
4)發(fā)出去的包數(shù),返回的包數(shù)鹰椒,丟包率锡移,耗費(fèi)時(shí)間;
5)最小/最大/平均響應(yīng)時(shí)間和本機(jī)硬件耗費(fèi)時(shí)間漆际;
原理
ping是應(yīng)用層直接使用網(wǎng)絡(luò)層ICMP的一個(gè)例子淆珊,它沒(méi)有通過(guò)運(yùn)輸層的TCP或UDP。ping命令底層使用的是ICMP奸汇,ICMP報(bào)文封裝在ip包里施符,所以ICMP屬于網(wǎng)絡(luò)層協(xié)議。
ping 命令每秒發(fā)送一個(gè)ICMP ECHO_REQUEST數(shù)據(jù)報(bào)并且為每個(gè)接收到的響應(yīng)打印一行輸出擂找。ping 命令計(jì)算信號(hào)往返時(shí)間和(信息)包丟失情況的統(tǒng)計(jì)信息戳吝,并且在完成之后顯示一個(gè)簡(jiǎn)要總結(jié)。ping 命令在程序超時(shí)或當(dāng)接收到 SIGINT 信號(hào)時(shí)結(jié)束贯涎。
有些服務(wù)器為了防止通過(guò)ping探測(cè)到听哭,通過(guò)防火墻設(shè)置了禁止ping或者在內(nèi)核參數(shù)中禁止ping,這樣就不能通過(guò)ping確定該主機(jī)是否還處于開(kāi)啟狀態(tài)柬采。
fping
fping命令類似于ping(ping是通過(guò)ICMP(網(wǎng)絡(luò)控制信息協(xié)議InternetControl Message Protocol)協(xié)議回復(fù)請(qǐng)求以檢測(cè)主機(jī)是否存在)欢唾。Fping與ping不同的地方在于且警,fping可以在命令行中指定要ping的主機(jī)數(shù)量范圍粉捻,也可以指定含有要ping的主機(jī)列表文件。與ping要等待某一主機(jī)連接超時(shí)或發(fā)回反饋信息不同斑芜,fping給一個(gè)主機(jī)發(fā)送完數(shù)據(jù)包后肩刃,馬上給下一個(gè)主機(jī)發(fā)送數(shù)據(jù)包,實(shí)現(xiàn)多主機(jī)同時(shí)ping。如果某一主機(jī)ping通盈包,則此主機(jī)將被打上標(biāo)記沸呐,并從等待列表中移除,如果沒(méi)ping通呢燥,說(shuō)明主機(jī)無(wú)法到達(dá)崭添,主機(jī)仍然留在等待列表中,等待后續(xù)操作叛氨。
2. telnet
簡(jiǎn)介
- Telnet協(xié)議是TCP/IP協(xié)議族中的一員呼渣,telnet是連接遠(yuǎn)程計(jì)算機(jī)的連接協(xié)議。但由于其是明文傳輸寞埠,逐漸被ssh取代屁置。但我們可以使用telnet 命令來(lái)測(cè)試遠(yuǎn)程端口是否連通。
telnet IP port
3. traceroute
簡(jiǎn)介
- 應(yīng)用的數(shù)據(jù)包在發(fā)送到服務(wù)器之前都要經(jīng)過(guò)層層的路由轉(zhuǎn)發(fā)仁连。而Traceroute是一種常規(guī)的網(wǎng)絡(luò)分析工具蓝角,用來(lái)定位到目標(biāo)主機(jī)之間的所有路由器。
- 基于ICMP或UDP或TCP協(xié)議
示例
[root@192 ~]# traceroute www.baidu.com
traceroute to www.baidu.com (36.152.44.95), 30 hops max, 60 byte packets
1 192.168.182.2 0.184 ms 0.143 ms 0.142 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
...
- 返回的記錄按序列號(hào)從1開(kāi)始饭冬,每個(gè)紀(jì)錄就是一跳 使鹅,每跳表示一個(gè)網(wǎng)關(guān),每行有三個(gè)時(shí)間昌抠,分別表示探測(cè)數(shù)據(jù)包向每個(gè)網(wǎng)關(guān)發(fā)送三個(gè)數(shù)據(jù)包后并徘,網(wǎng)關(guān)響應(yīng)后返回的時(shí)間。
- 常用參數(shù):
-n: 使用IP扰魂,不使用域名麦乞,速度更快
- 基于TCP SYN:
# traceroute -T -p 80 -n www.jd.com
traceroute to www.jd.com (117.59.121.81), 30 hops max, 60 byte packets
1 192.168.182.2 0.260 ms 0.178 ms 0.299 ms
2 117.59.121.81 20.067 ms 20.017 ms 19.587 ms
原理
- traceroute的實(shí)現(xiàn)借助了TTL,通過(guò)向目的地址發(fā)送一系列的探測(cè)包劝评,設(shè)置探測(cè)包的TTL初始值分別為1,2,3…姐直,根據(jù)返回的超時(shí)通知(ICMP Time Exceeded Message)得到源地址與目的地址之間的每一跳路由信息。
- Linux和Mac OS等系統(tǒng)使用UDP包進(jìn)行探測(cè)蒋畜,目標(biāo)端口號(hào)默認(rèn)為33434声畏,每次探測(cè)目標(biāo)端口號(hào)加1。Traceroute故意使用了一個(gè)大于 30000 的目標(biāo)端口號(hào)姻成,以保證目標(biāo)地址收到數(shù)據(jù)包后能夠返回一個(gè)“端口不可達(dá)”的 ICMP 報(bào)文插龄,于是源地址就可將端口不可達(dá)報(bào)文當(dāng)作跟蹤結(jié)束的標(biāo)志。
- Traceroute每跳默認(rèn)發(fā)送3個(gè)探測(cè)包(發(fā)包的數(shù)量可通過(guò)-q進(jìn)行設(shè)置)科展,探測(cè)包的返回會(huì)受到網(wǎng)絡(luò)情況的影響均牢。如果防火墻封掉了ICMP的返回信息,那么相應(yīng)的延時(shí)位置會(huì)以*顯示才睹。如果某臺(tái)網(wǎng)關(guān)阻塞或者某臺(tái)DNS出現(xiàn)問(wèn)題徘跪,那么相應(yīng)行的延時(shí)會(huì)變長(zhǎng)甘邀。可以加-n 參數(shù)來(lái)避免DNS解析垮庐,以IP格式輸出數(shù)據(jù)松邪。
4. ifconfig
簡(jiǎn)介
- Linux ifconfig命令用于顯示或設(shè)置網(wǎng)絡(luò)設(shè)備。
ifconfig可設(shè)置網(wǎng)絡(luò)設(shè)備的狀態(tài)哨查,或是顯示目前的設(shè)置逗抑。用ifconfig命令配置的網(wǎng)卡信息,在網(wǎng)卡重啟后機(jī)器重啟后寒亥,配置就不存在锋八。要想將上述的配置信息永遠(yuǎn)的存的電腦里,那就要修改網(wǎng)卡的配置文件了护盈。 - ip addr命令也有相似功能挟纱。
示例
[root@192 ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.182.130 netmask 255.255.255.0 broadcast 192.168.182.255
inet6 fe80::a15c:47dd:2868:7170 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:8d:54:79 txqueuelen 1000 (Ethernet)
RX packets 9287 bytes 728375 (711.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 2378 bytes 213886 (208.8 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 448 bytes 37968 (37.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 448 bytes 37968 (37.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ens33是內(nèi)置的PCI-E網(wǎng)卡
第一行:
UP:代表此網(wǎng)絡(luò)接口為啟用狀態(tài)(down為關(guān)閉狀態(tài)) ;
RUNNING:代表網(wǎng)卡設(shè)備已連接
MULTICAST:表示支持組播
MTU:為數(shù)據(jù)包最大傳輸單元
第二行:網(wǎng)卡的IP地址、子網(wǎng)掩碼腐宋、廣播地址
第三行:IP v6地址
第四行:ether:表示為網(wǎng)卡的MAC地址紊服,Ethernet(以太網(wǎng))表示連接類型;
第五行:接受數(shù)據(jù)包個(gè)數(shù)胸竞、大小統(tǒng)計(jì)信息
第六行:異常接受包的個(gè)數(shù)欺嗤、如丟包量、錯(cuò)誤等
第七行:發(fā)送數(shù)據(jù)包個(gè)數(shù)卫枝、大小統(tǒng)計(jì)信息
第八行:發(fā)送包的個(gè)數(shù)煎饼、如丟包量、錯(cuò)誤等
lo 是表示主機(jī)的回壞地址校赤,IP地址固定為127.0.0.1吆玖,子網(wǎng)掩碼為8位,表示本機(jī)马篮。
還可以通過(guò)ifconfig add 命令來(lái)為網(wǎng)卡配置IP地址沾乘,但重啟后會(huì)失效』氩猓可以通過(guò)/etc/sysconfig/network-scripts/ifcfg-[網(wǎng)卡名]來(lái)配置永久的信息
5. netstat
簡(jiǎn)介
- 用于顯示網(wǎng)絡(luò)狀態(tài)翅阵。
- 命令格式:netstat [-acCeFghilMnNoprstuvVwx][-A<網(wǎng)絡(luò)類型>][--ip]
- 常用參數(shù)說(shuō)明:
-a或--all 顯示所有連線中的Socket。迁央。
-l或--listening 顯示監(jiān)控中的服務(wù)器的Socket掷匠。
-n或--numeric 直接使用IP地址,而不通過(guò)域名服務(wù)器岖圈。
-p或--programs 顯示正在使用Socket的程序識(shí)別碼和程序名稱讹语。
-t或--tcp 顯示TCP傳輸協(xié)議的連線狀況。
-u或--udp 顯示UDP傳輸協(xié)議的連線狀況幅狮。
示例
[root@192 ~]# netstat -tuln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 :::111 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:889 0.0.0.0:*
udp 0 0 192.168.122.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:67 0.0.0.0:*
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:50870 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 127.0.0.1:323 0.0.0.0:*
udp6 0 0 :::889 :::*
udp6 0 0 :::111 :::*
udp6 0 0 ::1:323 :::*
- 可以通過(guò)該命令判斷計(jì)算機(jī)開(kāi)啟了哪些服務(wù)
- 只有tcp有l(wèi)isten狀態(tài)募强,udp沒(méi)有
netstat -an
- ESTABLISH代表連接已經(jīng)建立,兩臺(tái)機(jī)器正在通信崇摄。
6. nsloopup
簡(jiǎn)介
- nslookup用于查詢DNS的記錄擎值,查詢域名解析是否正常,在網(wǎng)絡(luò)故障時(shí)用來(lái)診斷網(wǎng)絡(luò)問(wèn)題
- nslookup有“交互模式”和“非交互模式”兩種工作模式
示例
[root@192 ~]# nslookup www.baidu.com
Server: 192.168.182.2
Address: 192.168.182.2#53
Non-authoritative answer:
www.baidu.com canonical name = www.a.shifen.com.
Name: www.a.shifen.com
Address: 36.152.44.95
Name: www.a.shifen.com
Address: 36.152.44.96
Non-authoritative answer: 代表結(jié)果是從Server的緩存中得到的逐抑。
若個(gè)DNS server沒(méi)有某域名的記錄信息鸠儿,當(dāng)有客戶端通過(guò)它請(qǐng)求獲取該域名信息,此DNS Server會(huì)通過(guò)多個(gè)層級(jí)迭代遞歸的方式最終從實(shí)際存儲(chǔ)此記錄信息的DNS server中獲取域名信息厕氨,反饋給發(fā)出請(qǐng)求的客戶端进每,同時(shí)會(huì)把域名的記錄信息放在自身緩存中放置一段時(shí)間,當(dāng)又有客戶端請(qǐng)求test.com域名解析時(shí)命斧,此DNS server直接從自身緩存中提取返回給客戶端田晚,這個(gè)回答叫“非權(quán)威回答”
通過(guò)
nslookup -debug www.baidu.com
可以查看域名的緩存時(shí)間
Name:指的是域名實(shí)際對(duì)應(yīng)的主機(jī)名記錄。
7. route
route命令是用于操作基于內(nèi)核ip路由表国葬,它的主要作用是創(chuàng)建一個(gè)靜態(tài)路由讓指定一個(gè)主機(jī)或者一個(gè)網(wǎng)絡(luò)通過(guò)一個(gè)網(wǎng)絡(luò)接口贤徒,如eth0。當(dāng)使用"add"或者"del"參數(shù)時(shí)汇四,路由表被修改接奈,如果沒(méi)有參數(shù),則顯示路由表當(dāng)前的內(nèi)容通孽。
直接在命令行下執(zhí)行route命令來(lái)添加路由序宦,不會(huì)永久保存,當(dāng)網(wǎng)卡重啟或者機(jī)器重啟之后背苦,該路由就失效了互捌;可以在/etc/rc.local中添加route命令來(lái)設(shè)置路由永久有效。
查看路由信息:
[root@192 ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.182.2 0.0.0.0 UG 100 0 0 ens33
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
192.168.182.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
第一行表示去任何地方(0.0.0.0)行剂,都由接口ens33發(fā)給192.168.182.2疫剃,因?yàn)槭悄J(rèn)網(wǎng)關(guān)。
第三行表示主機(jī)所在網(wǎng)絡(luò)的地址為192.168.182.0硼讽,若數(shù)據(jù)傳送目標(biāo)是在本局域網(wǎng)內(nèi)通信巢价,則可直接通過(guò)ens33轉(zhuǎn)發(fā)數(shù)據(jù)包;
其中Flags為路由標(biāo)志,U表示此路由當(dāng)前為啟動(dòng)狀態(tài)固阁;UG表示此路由為默認(rèn)網(wǎng)關(guān)壤躲。
- 增加路由條目: route add [-host|-net] IP -netmask 子網(wǎng)掩碼 gw 網(wǎng)關(guān)地址
添加一條路由,要訪問(wèn)192.56.76.0這個(gè)網(wǎng)絡(luò)需要走ens33網(wǎng)卡
[root@192 ~]# route add -net 192.56.76.0 netmask 255.255.255.0 dev ens33
[root@192 ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.182.2 0.0.0.0 UG 100 0 0 ens33
192.56.76.0 0.0.0.0 255.255.255.0 U 0 0 0 ens33
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
192.168.182.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
- 刪除路由條目
route del -net 192.56.76.0 netmask 255.255.255.0 dev ens33
- 添加一個(gè)默認(rèn)網(wǎng)關(guān): (只有連外網(wǎng)的網(wǎng)卡可以設(shè)置網(wǎng)關(guān))
route add default gw 192.168.182.2
- 刪除默認(rèn)網(wǎng)關(guān):
route del default gw 192.168.182.2
8.arp
- 用于操作主機(jī)的arp緩沖區(qū)备燃,它可以顯示arp緩沖區(qū)中的所有條目碉克、刪除指定的條目或者添加靜態(tài)的IP地址與MAC地址對(duì)應(yīng)關(guān)系。
- 查詢arp緩沖區(qū)中指定主機(jī)的arp條目:
[root@192 ~]# arp -v
Address HWtype HWaddress Flags Mask Iface
192.168.182.2 ether 00:50:56:f4:ed:49 C ens33
192.168.182.254 ether 00:50:56:e9:cb:6c C ens33
Entries: 2 Skipped: 0 Found: 2
- 將目標(biāo)ip地址映射固定mac:arp -s IP地址 mac地址
- 刪除映射:arp -d IP地址
9. hostname
- 顯示主機(jī)名
[root@192 ~]# hostname
192.168.182.131
- 更改主機(jī)名(重啟后失效)
[root@192 ~]# hostname localhost
[root@192 ~]# hostname
localhost
- 永久更改主機(jī)名(重啟后生效): etc/sysconfig/network
10. nmap
- nmap是一個(gè)網(wǎng)絡(luò)連接端掃描軟件并齐,用來(lái)掃描網(wǎng)上電腦開(kāi)放的網(wǎng)絡(luò)連接端漏麦。確定哪些服務(wù)運(yùn)行在哪些連接端客税,并且推斷計(jì)算機(jī)運(yùn)行哪個(gè)操作系統(tǒng)
# nmap www.baidu.com
Starting Nmap 6.40 ( http://nmap.org ) at 2020-06-31 18:10 CST
Nmap scan report for www.baidu.com (36.152.44.95)
Host is up (0.0023s latency).
Other addresses for www.baidu.com (not scanned): 36.152.44.96
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 51.19 seconds
- 常用參數(shù)
-sT TCP connect()掃描,這種方式會(huì)在目標(biāo)主機(jī)的日志中記錄大批的鏈接請(qǐng)求以及錯(cuò)誤信息撕贞。
-sP ping掃描更耻,加上這個(gè)參數(shù)會(huì)使用ping掃描,只有主機(jī)存活捏膨,nmap才會(huì)繼續(xù)掃描秧均,一般最好不加,因?yàn)橛械闹鳈C(jī)會(huì)禁止ping号涯,卻實(shí)際存在目胡。
-sS 半開(kāi)掃描,一般不會(huì)記入日志链快,不過(guò)需要root權(quán)限誉己。
-sU udp掃描,但是一般不可靠域蜗,
-sA 用來(lái)穿過(guò)防火墻的規(guī)則集巫延,速度慢。
-sV 端口服務(wù)及版本
-A 包含了-sV地消,-O炉峰,全面系統(tǒng)檢測(cè),啟動(dòng)腳本檢測(cè)脉执,掃描等疼阔。
-P0 掃描之前不使用ping,適用于防火墻禁止ping半夷,比較有用婆廊。
-v 顯示掃描進(jìn)程
-O 探測(cè)目標(biāo)系統(tǒng)的漏洞,容易誤報(bào)
-oN/-oX/-oG 將報(bào)告寫入文件巫橄,格式分別為正常(自定義.txt),XML,grepable.
-iL 掃描主機(jī)列表
-sC –script=default 默認(rèn)的腳本掃描淘邻,主要是搜集各種應(yīng)用服務(wù)的信息
-p 掃描指定端口或端口段
11. iptable
- iptables是linux下的應(yīng)用層防火墻命令工具集。
- iptables基于
Netfilter
湘换。 Netfilter是Linux操作系統(tǒng)核心層內(nèi)部的一個(gè)數(shù)據(jù)包處理工具宾舅。
Netfilter對(duì)于網(wǎng)絡(luò)層IP包有5條
鏈 (hook point)
,分別是:PRE_ROUTING
,INPUT
,OUTPUT
,FORWARD
和POST_ROUTING
彩倚。Netfilter包含了4張
表(table)
:起過(guò)濾作用的filter表
筹我、起地址轉(zhuǎn)發(fā)作用的nat表
,用于修改報(bào)文的mangle表
,用于數(shù)據(jù)跟蹤的raw表
帆离。其中filter表
和nat表
最常用蔬蕊。-
網(wǎng)絡(luò)層IP包通過(guò)每一個(gè)
hook point
都有機(jī)會(huì)通過(guò)各種表對(duì)IP包進(jìn)行操作。
當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)哥谷,iptables就會(huì)從鏈中第一條規(guī)則開(kāi)始檢查岸夯,看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件麻献,如果滿足規(guī)則,系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包猜扮,如果不滿足規(guī)則勉吻,繼續(xù)檢查下一條規(guī)則,如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則破镰,iptables就會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略來(lái)處理數(shù)據(jù)包餐曼;
iptables -t 表名 <-A/I/D/R> 規(guī)則鏈名 [規(guī)則號(hào)] <-i/o 網(wǎng)卡名> -p 協(xié)議名 <-s 源IP/源子網(wǎng)> --sport 源端口 <-d 目標(biāo)IP/目標(biāo)子網(wǎng)> --dport 目標(biāo)端口 -j 動(dòng)作