iptables 基本说明

iptables [-t table] command [match] [target]

-表
-命令
-链
-匹配
-动作

filter、nat 和 mangle

command			说 明-A 或 --append		该命令将一条规则附加到链的末尾-D 或 --delete		通过用 -D 指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除该规则-P 或 --policy		该命令设置链的默认目标，即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略-N 或 --new-chain	用命令中所指定的名称创建一个新链-F 或 --flush		如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有链中的所有规则。此参数用于快速清除-L 或 --list		列出指定链中的所有规则-R 或 --replace		替换指定链中一条匹配的规则-X 或 --delete-chain	删除指定用户的的定义链，若没有指定链，则删除所有的用户链-C 或 --check		检查数据包是否与指定链的规则相匹配-Z 或 --zero		将指定链中所有规则的 byte 计数器清零

INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

match			说 明-p 或 --protocol		该通用协议匹配用于检查某些特定协议。协议示例有 TCP、UDP、ICMP、用逗号分隔的任何这三种协议的组合列表以及 ALL（用于所有协议）。ALL 是默认匹配。可以使用 ! 符号表示不与该项匹配-s 或 --source		该源匹配用于根据信息包的源 IP 地址来与它们匹配。该匹配还允许对某一范围内的 IP 地址进行匹配，可以使用 ! 符号，表示不与 该项匹配。默认源匹配与所有 IP 地址匹配-d 或 --destination	该目的地匹配用于根据信息包的目的地 IP 地址来与它们匹配。该匹配还允许对某一范围内 IP 地址进行匹配，可以使用 ! 符号表示不与该项匹配--sport			指定匹配规则的源端口或端口范围--dport			指定匹配规则的目的端口或端口范围-i			匹配单独的网络接口或某种类型的接口设置过滤规则