2.0/2.1/2.2/2.3 iptables详解

#iptables  -t nat  -nvL  //查看规则，-n表示不针对IP反解析主机名，-v表示列出的信息更详细，-L表示列出的意思。不加-t则打印filter表相关信息。
#iptables -F ； /etc/init.d/iptables.seve      //-F清除当前规则，使用/etc/init.d/iptables.seve保存规则，-Z表示把包以及流量计数器置零。
Iptables的三个表：
filter 表用于过滤包，内部三个链为INPUT作用于进入本机的包，OUTPUT作用与本机送出的包，FORWARD作用于跟本机无关的包
net 表用于网络地址转换，内部三个链为PREROUTING链用于在包刚刚到达防火墙时改变它的目标地址，OUTPUT链改变本地产生的包的目标地址，POSTROUTING链在包离开防火墙之前改变其源地址。
mangle 用于给数据包打标记。
#iptables -A INPUT -s 10.72.11.12 -p tcp --sport 1234 -d 10.72.137.159 --dport 80 -j DROP
-A/-D : 增加删除一条规则
-I : 插入一条规则，跟-A效果一样
-s : 指定源IP
-d : 指定目标IP
-p : 指定协议，可以是tcp,udp，icmp
--sport/--dport ： 源端口/目标端口
-j ：跟动作（DROP把包丢掉，REJECT把包拒绝，ACCEPT即允许包）
-i : 指定网卡
#iptables -I INPUT -s 2.2.2.2 -p tcp --dport 80 -j DROP   //来自2.2.2.2并且时tcp协议到本机的80端口数据包丢掉
#serve iptables save     //保存当前规则
#iptables -F            //清除防火墙所有规则
#serve iptables stop     //停止防火墙服务
#iptables-save > 1.rule    //备份防火墙规则
#iptable-restore <1.rule   //恢复防火墙规则
#iptables -Z           //把包以及流量计数器置零
#iptables -P INPUT DROP    //-P后面跟链名，策略内容为DROP或者ACCEPT，默认为ACCEPT。一旦使用，则断开远程服务器，只有使用#iptables -P INPUT ACCEPT才能恢复。
#iptables -nvL --line-numbers先显示规则序号，然后#iptables -D INPUT/OUTPUT 序号 就可以删除指定序列号规则。