命令:
管理规则
-A:附加一条规则,添加在链的尾部
-I CHAIN [num]:插入一条规则,插入为对应CHIAIN上的第num条
-D CHAIN [num] :删除指定链中的第num条规则
-R CHAIN [num]: 替换指定的规则
管理链
-F [CHAIN]: flush, 清空指定规则链,如果省略CHAIN,则可以实现删除对应表中的所有链
-P CHAIN: 设定指定链的默认策略
-N:自定义一个新的空链
-X : 删除一个自定义的空链
-Z:置零指定链中所有规则的计数器
-E:重命名自定义的链
查看类:
-L: 显示指定表中的规则
-n: 以数字格式显示主机地址和端口号
-v: 显示链及规则的详细信息
-VV :
-x: 显示计数器的精确值
--line-numbers:显示规则号码
动作(target):
ACCEPT: 放行
DROP:丢弃
DEJECT:拒绝
DNAT:目标地址转换
SNAT:源地址转换
REDIRECT:端口重定向
MASQUSERADE:地址伪装
LOG:日志
MARK: 打标记
iptables 不是服务,但是有服务脚本:服务脚本的主要作用在与管理保存的规则
转载及一处iptables/netfilter
显式扩展:使用额外的匹配级制
-m EXTESTION --spe-opt
state:状态扩展
结合ip_conntrack 追踪会话的状态
NEW:新连接请求
ESTABLISHED:已建立的连接
INVALID:非法连接
RELATED:相关联的
-m state --state NEW,ESTABLISHED -j ACCEPT 保存规则:
#service iptables save
/etc/sysconfig/iptables
#iptables-save > /etc/sysconfig/iptables.20180629 #保存
#iptables-restore < /etc/sysocnfig/iptables.20180629 #恢复