iptables小结

1.）3张表

filter、nat、mangle

默认为filter表

2）每张表有各自的链，filter有INPUT、OUTPUT、FORWARD链

3）匹配原则

只匹配第一条符合条件的规则，后面的规则即使符合条件也会被忽略。

A追加到最后，I默认插入到最前

4）source与destination

source一般指别的机器，lo接口（本地回环接口）除外

destination一般指本机

5）基本语法

iptables [-AI 链名] [-io 网络接口名] [-p 协议] [-s 来源IP/网段 [--sport 来源端口]] [-d 目的IP/网段 [--dport 目的端口]] -j [ACCEPT|DROP|REJECT|LOG]

-i指定传入接口，需与INPUT链连用

-o指定传出接口，需与OUTPUT链连用

-p包括3个协议（tcp、udp、icmp），4个选项（tcp、udp、icmp、all）

--sport/--dport必须与-p tcp/udp连用，因为只有tcp和udp才有端口，不指定表示所有。

6）显示行号

当配置了很多规则时，有了行号（--line-number）变可以方便的插入（I）到某条规则之前了。

iptables -L -nv --line-number

7）保存配置

规则较少情况直接使用/etc/init.d/iptables save即可，重启iptables时会自动读取该配置。

规则较多的情况建议将所有规则写到一个shell脚本里，方便以后修改。

REF：http://linux.vbird.org/linux_server/0250simple_firewall.php