iptables20070429201357r
r
注:此文章来源于网络r
r
框架图r
r
r
PREROUTINGROUTEFORWARDPOSTROUTINGr
ma
glema
glema
gler
atfilter
atr
r
r
vr
INPUTOUTPUTr
ma
glema
gler
filter
atr
vlocalfilterr
r
r
链和表r
r
表r
r
filter用于过滤的时候r
at用于做NAT的时候r
r
链r
r
INPUT位于filter表,匹配目的ip是本机的数据包r
FORWARD位于filter表,匹配穿过本机的数据包r
PREROUTING位于
at表,用于修改目的地址DNATr
POSTROUTING位于
at表,用于修改源地址SNATr
r
iptables语法r
r
iptablest要操作的表操作命令要操作的链规则号码匹配条件j匹配到以后的动作r
r
命令概述r
操作命令A、I、D、R、P、Fr
查看命令v
xLr
r
A链名r
APPEND追加一条规则放到最后r
例如r
r
iptablestfilterAINPUTjDROPr
在filter表的INPUT链里追加一条规则(作为最后一条规则)r
匹配所有访问本机IP的数据包,匹配到的丢弃r
r
I链名规则号码r
INSERT,插入一条规则r
例如:r
iptablesIINPUTjDROPr
在filter表的INPUT链里插入一条规则(插入成第1条)r
iptablesIINPUT3jDROPr
在filter表的INPUT链里插入一条规则(插入成第3条)r
注意:1、tfilter可不写,不写则自动默认是filter表r
2、I链名规则号码,如果不写规则号码,则默认是1r
3、确保规则号码≤(已有规则数1),否则报错r
r
D链名规则号码具体规则内容r
DELETE,删除一条规则r
例如:r
iptablesDINPUT3(按号码匹配)r
删除filter表INPUT链中的第三条规则(不管它的内容是什么)r
iptablesDINPUTs19216801jDROP(按内容匹配)r
删除filter表INPUT链中内容为“s19216801jDROP”的规则r
(不管其位置在哪里)r
注意:r
1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条r
2、按号码匹配删除时,确保规则号码≤已有规则数,否则报错r
3、按内容匹配删除时,确保规则存在,否则报错r
r
R链名规则号码具体规则内容r
REPLACE,替换一条规则r
例如:r
iptablesRINPUT3jACCEPTr
将原来编号为3的规则内容替换为“jACCEPT”r
注意:r
r