iptables命令语法(1)

 

iptables 指令语法：
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表，内建的规则表有三个，分别是： nat 、 mangle 和 filter ，当未指定规则表时，则一律视为是 filter 。
个规则表的功能如下：
nat 此规则表拥有 Prerouting 和 postrouting 两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（ SNAT
DNAT ），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。
mangle 此规则表拥有 Prerouting 、 FORWARD 和 postrouting 三个规则链。
除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（ TTL 、 TOS ）或者是设定 MARK （将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。
filter 这个规则表是预设规则表，拥有 INPUT 、 FORWARD 和 OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的
理动作（例如： DROP 、 LOG 、 ACCEPT 或 REJECT ），我们会将基本规则都建立在此规则表中。
常用命令列表：
命令 -A, --append
范例 iptables -A INPUT ...
说明 新增规则到某个规则链中，该规则将会成为规则链中的最后一条规则。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则链中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行规则，规则被取代后并不会改变顺序。
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
说明 插入一条规则，原本该位置上的规则将会往后移动一个顺位。
命令 -L, --list
范例 iptables -L INPUT
说明 列出某规则链中的所有规则。
（待续）