原理性的不解释,这东西用了才会理解
iptables [-t 表],command (匹配),[目标]
-表
——命令
——链
- - - - - -匹配
——动作
过滤器,nat 和,损坏
命令说,明-A 或,,添加该命令将一条规则附加到链的末尾-D 或,——delete通过用,-D 指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除该规则-P 或,——政策该命令设置链的默认目标,即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略-N 或,——新链条用命令中所指定的名称创建一个新链-F 或,,平如果指定链名,该命令删除链中的所有规则,如果未指定链名,该命令删除所有链中的所有规则。此参数用于快速清除-L 或,——列表列出指定链中的所有规则-R 或,——取代替换指定链中一条匹配的规则-X 或,——delete-chain删除指定用户的的定义链,若没有指定链,则删除所有的用户链-C 或,,检查检查数据包是否与指定链的规则相匹配-Z 或,——零将指定链中所有规则的,byte 计数器清零
输入
输出
向前
PREROUTING
POSTROUTING)
匹配说,明-p 或,——协议该通用协议匹配用于检查某些特定协议。协议示例有,TCP, UDP, ICMP,用逗号分隔的任何这三种协议的组合列表以及,所有(用于所有协议).ALL 是默认匹配。可以使用,!,符号表示不与该项匹配-s 或,——来源该源匹配用于根据信息包的源,IP 地址来与它们匹配。该匹配还允许对某一范围内的,IP 地址进行匹配,可以使用,!,符号,表示不与,该项匹配。默认源匹配与所有,IP 地址匹配-d 或,目的地——该目的地匹配用于根据信息包的目的地,IP 地址来与它们匹配。该匹配还允许对某一范围内,IP 地址进行匹配,可以使用,!,符号表示不与该项匹配——运动指定匹配规则的源端口或端口范围,dport指定匹配规则的目的端口或端口范围我匹配单独的网络接口或某种类型的接口设置过滤规则
目标说,明
接受当信息包与具有,ACCEPT 目标的规则完全匹配时,会被接受(允许它前往目的地)
下降当信息包与具有,DROP 目标的规则完全匹配时,会阻塞该信息包,并且不对它做进一步处理。该目标被指定为,-j 下降
拒绝该目标的工作方式与,DROP 目标相同,但它比,DROP 好。和,DROP 不同,REJECT 不会在服务器和客户机上留下死套接字。另外,REJECT 将错误消息发回给信息包的发送方。该目标被指定为,-j 拒绝
返回在规则中设置的,RETURN 目标让与该规则匹配的信息包停止遍历包含该规则的链。如果链是如,INPUT 之类的主链,则使用该链的默认策略处理信息包。它被指定为,-jump 回报
日志表示将包的有关信息记录入日志
服务条款表示改写数据包的,TOS 值
