來自書籍：防線-企業Linux安全運維理念和實戰

Iptables一般規則如下：

Iptables?[-t?table]?command?[match]?target

一般，一條iptables規則包含五個元素：

表 命令 鏈 匹配 動作

1、表：

-t table 允許使用標準表之外的任何表。

有三種可用的表選項： filter、nat、mangle。該選項不是必選的，如果未指定表，默認是filter表。

Filter表用于信息包過濾，包含INPUT、OUTPUT、FORWARD?鏈； Nat表用于要轉發的信息包，包含：PREROUTING、OUTPUT、POSTROUTING鏈； Managle表用于信息包及頭內進行了任何更改的過濾，包含一些規則來標記用于高級路由的信息包及PREROUTING和OUTPUT鏈。

2、命令

-A(--append)：添加一條規則到鏈的末尾； -D(--delete)：刪除指定規則或指定編號的規則； -P(--policy)：設置鏈的默認策略； -N(--new-chain)：用命令中所指定的名稱創建一個新鏈； -F(--flush)：刪除指定鏈中所有規則，如果未指定鏈名，刪除所有鏈中所有規則； -L(--list)：列出指定鏈中的所有規則； -R(--replace)：替換指定鏈中一條匹配的規則； -X(--delete-chain)：刪除指定的用戶定義鏈，若未指定，刪除所有用戶鏈； -C(--check)：檢查數據包是否與指定規則匹配； -Z(--zero)：將指定鏈中所有規則的byte計數器清零。

3、鏈

Filter（默認鏈）：INPUT、OUTPUT、FORWARD Nat：PREROUTING、OUTPUT、POSTROUTING

4、匹配

-p(--protocol)：匹配協議（TCP、UDP、ICMP）等協議，可以用逗號分隔三種協議，添加多個。ALL是默認匹配，用于所有協議，可以使用”!”表示不匹配； -s(--source)：根據信息包的源IP地址來進行匹配。可以進行范圍匹配，”!”表示不匹配。默認源匹配與所有地址匹配。 -d(--destination)：根據信息包的目的地址匹配，可以進行范圍匹配，”!”表示不匹配。 --sport：指定匹配規則的源端口或端口范圍； --dport：指定匹配規則的目的端口或端口范圍； -i：匹配單獨的網絡接口或某種類型的接口；

5、目標（動作）

ACCEPT：規則匹配時，會允許通過； DROP：規則完全匹配時，會阻塞信息包，并不對其進行進一步處理； REJECT：與DROP類似，也會阻塞信息包，但是不會再服務器和客戶機上留下死socket。另外，REJECT會將錯誤信息發回給信息包的發送方。 RETURN：規則完全匹配時，RETURN目標會讓該規則匹配的信息包停止遍歷包含該規則的鏈； LOG：將有關信息記錄日志； TOS：改寫數據包的TOS值；

轉載于:https://blog.51cto.com/oslibo/1857486

總結

以上是生活随笔為你收集整理的【iptables】编写iptables防火墙规则-1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。