该命令将一条规则附加到链的末尾 D或- delete 通过用D指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除 P或- policy 该命令设置链的缺省目标,即策略。所有与链中任何规则都不匹配的数据包都将 被强制使用此链的策略 用命令中所指定的名称创建一个新链 -F或-fush 如果指定链名,该命令删除链中的所有规则,如果未指定链名,该命令删除所有 链中的所有规则。此参数用于快速清除 L或-list 列出指定链中的所有规则 示例: #iptables-A INPUT-S 192168..10-j ACCEPT 该命令将一条规则附加到 INPUT链的末尾,确定来自源地址192.168010的数据包 可以 ACCePt #iptables-D INPUT--dport 80-j DROP 该命令从 INPUT链删除规则 #iptables-P INPUT DROP 该命令将 INPUT链的缺省目标指定为DROP。这将丢弃所有与 INPUT链中任何规则 都不匹配的数据包 match部分指定数据包与规则匹配所应具有的特征,比如源IP地址、目的IP地址、协 议等。常用的规则匹配器见表7-4: 示例 #iptables-A INPUT-P TCP, UDP #iptables-A INPUT-P! ICMP #iptables-A OUTPUT-S 192 168.0.10 #iptables-A OUTPUT-S! 210.43 1.100 #iptables-A INPUT-d 192.168.1.1 #iptables-A OUTPUT-d! 210.43.1.100 4. target 目标是由规则指定的操作,常用的一些目标和功能说明见表7-5: 5.保存规则 用上述方法建立的规则被保存到内核中,这些规则在系统重启时将丢失。如果希望在系 统重启后还能使用这些规则,则必须使用 iptables-save命令将规则保存到某个文件 ( iptables-script)中 #iptables-save > iptables-script 执行如上命令后,数据包过滤表中的所有规则都被保存到 iptables-script文件中。当系 统重启时,可以执行 iptables-restore iptables-script命令,将规则从文件 iptables-script中恢复 到内核空间的数据包过滤表中-A 或 --append 该命令将一条规则附加到链的末尾 -D 或 --delete 通过用-D指定要匹配的规则或者指定规则在链中的位置编号，该命令从链中删除 该规则 -P 或 --policy 该命令设置链的缺省目标，即策略。所有与链中任何规则都不匹配的数据包都将 被强制使用此链的策略 -N 或 --new-chain 用命令中所指定的名称创建一个新链 -F 或 --flush 如果指定链名，该命令删除链中的所有规则，如果未指定链名，该命令删除所有 链中的所有规则。此参数用于快速清除 -L 或 --list 列出指定链中的所有规则 示例： #iptables -A INPUT -s 192.168.0.10 -j ACCEPT 该命令将一条规则附加到 INPUT 链的末尾，确定来自源地址 192.168.0.10 的数据包 可以 ACCEPT。 #iptables -D INPUT --dport 80 -j DROP 该命令从 INPUT 链删除规则。 #iptables -P INPUT DROP 该命令将 INPUT 链的缺省目标指定为 DROP。这将丢弃所有与 INPUT 链中任何规则 都不匹配的数据包。 3．match match 部分指定数据包与规则匹配所应具有的特征，比如源 IP 地址、目的 IP 地址、协 议等。常用的规则匹配器见表 7-4： 示例： #iptables -A INPUT -p TCP，UDP #iptables -A INPUT -p ! ICMP #iptables -A OUTPUT -s 192.168.0.10 #iptables -A OUTPUT -s ! 210.43.1.100 #iptables -A INPUT -d 192.168.1.1 #iptables -A OUTPUT -d ! 210.43.1.100 4．target 目标是由规则指定的操作，常用的一些目标和功能说明见表 7-5： 5．保存规则 用上述方法建立的规则被保存到内核中，这些规则在系统重启时将丢失。如果希望在系 统重启后还能使用这些规则，则必须使用 iptables-save 命令将规则保存到某个文件 （iptables-script）中。 #iptables-save > iptables-script 执行如上命令后，数据包过滤表中的所有规则都被保存到 iptables-script 文件中。当系 统重启时，可以执行 iptables-restore iptables-script 命令，将规则从文件 iptables-script 中恢复 到内核空间的数据包过滤表中