[系统运维]Linux必会100个命令（三十二）iptables

68.iptables

iptables是管理linux防火墙安全规则的命令。

--help获得帮助信息。

格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

-t table ：3个filter nat mangle

COMMAND：定义如何对规则进行管理

chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的

CRETIRIA:指定匹配标准

-j ACTION :指定如何进行处理

例1：不允许172.16.0.0/16的进行访问。

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
-s代表来源IP网段或IP地址，这里指来源于网络号为172.16.0.0掩码为255.255.0.0的地址。
-p代表规则应用在那个协议上，这里“-p udp”即应用规则在udp协议上。
-j代表将要应用的规则，这里“-j DROP”即将要丢弃数据。其他的动作还有ACCEPT接受，REJECT拒绝等。

iptables -L -n -v #查看定义规则的详细信息

详解COMMAND

1.链管理命令

-P :设置默认策略的（设定默认门是关着的还是开着的）

默认策略一般只有两种

iptables -P INPUT (DROP|ACCEPT) ?默认是关的/默认是开的

比如：

iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。

? ? ? ? -F: FLASH，清空规则链的(注意每个链的管理权限)

? ?iptables -t nat -F PREROUTING

? ?iptables -t nat -F 清空nat表的所有链

? ? ? ? -N:NEW 支持用户新建一个链

? ? ? ? ? ? iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。

? ? ? ? -X: 用于删除用户自定义的空链

? ? ? ? ? ? 使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了

? ? ? ? -E：用来Rename chain主要是用来给用户自定义的链重命名

? ? ? ? ? ? -E oldname newname

? ? ? ? ?-Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）

? ? ? ? ? ? iptables -Z :清空

2.规则管理命令

? ? ? ? ?-A：追加，在当前链的最后新增一个规则

? ? ? ? ?-I num : 插入，把当前规则插入为第几条。在前面讲过规则顺序的意义，如不清楚请仔细看前面所述。

? ? ? ? ? ?例如： -I 3 :插入为第三条

? ? ? ? ?-R num：Replays替换/修改第几条规则

? ? ? ? ? ? 格式：iptables -R 3 …………

? ? ? ? ?-D num：删除，明确指定删除第几条规则

? ? ? ??

3.查看管理命令 “-L”

附加子命令

-n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。

-v：显示详细信息

-vv

-vvv :越多越详细

-x：在计数器上显示精确值，不做单位换算

--line-numbers : 显示规则的行号

-t nat：显示所有的关卡的信息