添加规则
iptables -t 表名 -A 链名 匹配条件 -j 动作 ##语法中-A表示在对应链的末尾添加规则,省略-t时,默认为filter表
示例:iptables -t filter -A INPUT -s 192.168.137.104 -j REJECT
iptables -t 表名 -I 链名 (数字) 匹配条件 -j 动作 #语法中,-I默认表示在对应链的开头添加规则,指定数字后,代表在指定位置添加规则。
设定指定链的默认策略
iptables -t 表名 -p 链名 动作
示例:iptables -t filter -p INPUT REJECT #将filter表中INPUT链的默认策略改为REJECT
删除规则
按照规则序号,删除指定表的指定链的指定规则,-D选项表示删除对应链的规则。
命令语法:iptables -t 表名 -D 链名 规则序号
示例:iptables -t filter -D FORWARD 3
#删除filter表中FORWARD链里的第三条规则
按照具体的条件,动作删除规则。
命令语法:iptables -t 表名 -D 链名 匹配条件 -j 动作
示例: iptables -t filter -D INPUT -s 192.168.137.104 -j REJECT
#删除filter表中,INPUT链里源地址为192.168.137.104并且动作为REJECT的规则
删除指定表的所有的链的规则(三思后行)
iptables -t 表名 -F (链名)
#-F表示清空所有规则,若不跟链名,则表示清空指定表的所有规则
修改规则
修改指定表中的指定规则,-R选项表示对应链中的规则修改,使用-R选项时要同时指定对应链,对应序号。并且规则中原本的匹配条件不能省略
语法:iptables -t 表名 -R 链名 规则序号 规则原本的匹配条件 -j 动作
示例:iptables -t filter -R FORWARD 1 -s 192.168.137.104 -j ACCEPT
#上述是修改filter表中FORWARD链中的第1条规则,它对应匹配条件为源地址是192.168.137.104。将它的动作修改为ACCEPT(若是没有写上源地址匹配条件,那么,源地址可能会变为0.0.0.0)
保存规则
在centos7中,默认使用的是firewalld,需要安装iptables-service。并且,iptables启动前,确保firewalld已经关闭。
service iptables save
若是没有保存,当重启后所做的修改都会无效。