1.)3张表
filter、nat、mangle
默认为filter表
2)每张表有各自的链,filter有INPUT、OUTPUT、FORWARD链
3)匹配原则
只匹配第一条符合条件的规则,后面的规则即使符合条件也会被忽略。
A追加到最后,I默认插入到最前
4)source与destination
source一般指别的机器,lo接口(本地回环接口)除外
destination一般指本机
5)基本语法
iptables [-AI 链名] [-io 网络接口名] [-p 协议] [-s 来源IP/网段 [--sport 来源端口]] [-d 目的IP/网段 [--dport 目的端口]] -j [ACCEPT|DROP|REJECT|LOG]
-i指定传入接口,需与INPUT链连用
-o指定传出接口,需与OUTPUT链连用
-p包括3个协议(tcp、udp、icmp),4个选项(tcp、udp、icmp、all)
--sport/--dport必须与-p tcp/udp连用,因为只有tcp和udp才有端口,不指定表示所有。
6)显示行号
当配置了很多规则时,有了行号(--line-number)变可以方便的插入(I)到某条规则之前了。
iptables -L -nv --line-number
7)保存配置
规则较少情况直接使用/etc/init.d/iptables save即可,重启iptables时会自动读取该配置。
规则较多的情况建议将所有规则写到一个shell脚本里,方便以后修改。
