【正文】 一條規(guī)則 例如： iptables R INPUT 3 j ACCEPT 將原來編號為 3 的規(guī)則內容替換為 “ j ACCEPT” 注意： 確保規(guī)則號碼 ≤ 已有規(guī)則數，否則報錯 P P 鏈名 動作 POLICY，設置某個鏈的默認規(guī)則 例如： iptables P INPUT DROP 設置 filter 表 INPUT 鏈的默認規(guī)則是 DROP 注意： 當數據包沒有被規(guī)則列表里的任何規(guī)則匹配到時，按此默認規(guī)則處理 F F [鏈名 ] FLUSH，清空規(guī)則 例如： iptables F INPUT 清空 filter 表 INPUT 鏈中的所有規(guī)則 iptables t nat F PREROUTING 清空 nat 表 PREROUTING 鏈中的所有規(guī)則 注意： F 僅僅是清空鏈中規(guī)則，并不影響 P 設置的默認規(guī)則 P 設置了 DROP 后，使用 F 一定要小心?。?！ 如果不寫鏈名，默認清空某表里所有鏈里的所有規(guī)則 [vxn]L L [鏈名 ] LIST，列出規(guī)則 v：顯示詳細信息，包括每條規(guī)則的匹配包數量和匹配字節(jié)數 x：在 v 的基礎上，禁止自動單位換算（ K、 M） n：只顯示 IP 地址和端口號碼，不顯示域名和服務名稱 例如： iptables L 粗略列出 filter 表所有鏈及所有規(guī)則 iptables t nat vnL 用詳細方式列出 nat 表所有鏈的所有規(guī)則，只顯示 IP 地址和端口號 iptables t nat vxnL PREROUTING 用詳細方式列出 nat 表 PREROUTING 鏈的所有規(guī)則以及詳細數字，不反解 匹配條件 ? 流入、流出接口（ i、 o） ? 來源、目的地址（ s、 d） ? 協(xié)議類型 （ p） ? 來源、目的端口（ sport、 dport） 按網絡接口匹配 i 匹配數據進入的網絡接口 例如： i eth0 匹配是否從網絡接口 eth0 進來 i ppp0 匹配是否從網絡接口 ppp0 進來 o 匹配數據流出的網絡接口 例如： o eth0 o ppp0 按來源目的地址匹配 s 匹配來源地址 可以是 IP、 NET、 DOMAIN，也可空（任何地址） 例如： s 匹配來自 的數據包 s s d 匹配目的地址 可以是 IP、 NET、 DOMAIN，也可以空 例如： d 匹配去往 的數據包 d d 匹配去往域名 的數據包 按協(xié)議類型匹配 p 匹配協(xié)議類型 可以是 TCP、 UDP、 ICMP 等，也可為空 例如： p tcp p udp p icmp icmptype 類型 ping: type 8 pong: type 0 按來源目的端口匹配 sport 匹配源端口 可以是個別端口，可以是端口范圍 例如： sport 1000 匹配源端口是 1000 的數據包 sport 1000:3000 匹配源端口是 10003000 的數據包（含 1000、 3000） sport :3000 匹配源端口是 3000 以下的數據包（含 3000） sport 1000: 匹配源端口是 1000 以上的數據包（含 1000） dport 匹配目的端口 可以是個別端口，可以是端口范圍 例如： dport 80 匹配源端口是 80 的數據包 dport 6000:8000 匹配源端口是 60008000 的數據包（含 6000、 8000） dport :3000 匹配源端口是 3000 以下的數據包（含 3000）