详细资料参考
iptables资料
常用命令
1.查看filter表的过滤规则
iptables -t filter -line(显示行号) -nvL( -n 直接显示ip -v 显示详细信息
-L查询规则链列表)
说明:(查询规则filter表的 INPUT规则链中的所有规则)
2.添加filter表的过滤规则(在INPUT链的上添加阻止源ip为172.17.0.2访问)
iptables -t filter -A INPUT(规则链条) -s 172.17.0.2 -j DROP(动作)
说明:(添加规则到 filter表的 INPUT规则链中)
3.添加filter表的过滤规则(指定插入的顺序,前面规则覆盖后面的)
iptables -t filter -I INPUT 2(默认1) -s 172.17.0.2 -j ACCEPT
说明:(添加规则到 filter表的 INPUT规则链中)
4.删除filter表的过滤规则
iptables -t filter -D INPUT 1
说明:(删除filter表的 INPUT规则链中的1号规则)
5.删除filter表的过滤规则(满足条件的)
iptables -t filter -D INPUT -s 172.17.0.2 -j ACCEPT
说明:(删除filter表的 INPUT规则链中满足源ip ,接受的规则)
6.修改filter表的过滤规则(指定序列号,注意不修改的也要覆盖,否则会用默认值)
iptables -t filter -R INPUT 1 -s 172.17.0.2(不覆盖0.0.0.0) -j REJECT
说明:(修改filter表的 INPUT规则链中 序列号为1的规则)
7.保存规则(默认iptables是临时存在内存的,重启会没有,需要持久化)
iptables-save > /etc/sysconfig/iptables
1.新增匹配源地址规则
iptables -t filter -A INPUT -s 172.17.0.2 -j ACCEPT
说明:(接受 新增filter表中 INPUT链源地址是172.17.0.2的规则)
2.新增匹配目标地址规则
iptables -t filter -A INPUT -d 172.17.0.2 -j ACCEPT
说明:(接受 新增filter表中 INPUT链目标地址是172.17.0.3的规则)
3.新增匹配协议类型规则
iptables -t filter -A INPUT -s 172.17.0.2 -p icmp -j REJECT
说明:(拒绝 新增filter表中 INPUT链协议是icmp(ping)的规则)
4.新增匹配网卡规则
iptables -t filter -I INPUT -s 172.17.0.2 -i eth0 -j DROP
说明:(丢弃 新增filter表中 INPUT链源地址172.17.0.2网卡是eth0的规则
1.增加一条自定义规则链
iptables -t filter -N IN_WEB
说明:(新增 在filter表中新增一条名字叫做IN_WEB的规则链)
2.增加一条规则到自定义链
iptables -t filter -I IN_WEB -s 172.17.0.2 -i eth0 -j DROP
说明:(新增 在filter表中新增一条规则到IN_WEB链中)
3.系统规则链(INPUT)引用自定义规则链(生效自定义规则链)
iptables -t filter -I INPUT -j IN_WEB
说明:(INPUT规则链引用IN_WEB,使IN_WEB规则生效)
4.删除自定义链的引用(其实和删除一条普通规则没区别)
iptables -t filter -D INPUT 1
说明:(可以理解自定义链就是一条规则,自定义链可以含有多个规则罢了)
5.删除自定义链
iptables -X IN_WEB