Iptables 防火墙使用笔记

选项说明

-A 追加防火墙规则
-D 删除防火墙规则
-I 插入防火墙规则
-F 清空防火墙规则
-L 列出防火墙规则
-R 替换防火墙规则
-Z 清空防火墙数据包统计信息
-P 设置链默认访问

触发动作

ACCEPT      允许数据包通过
DROP        丢弃数据包
REJECT      拒绝数据包通过
LOG         将数据包信息记录syslog日志
DNAT        目标地址转换
SNAT        原地址转换
MASQUERADE  地址欺骗
REDIRECT    重定向

部分命令示例

iptables -nL        
#查看filter表的所有规则

iptables -t nat -nL
#查看nat表中的所有规则

iptables -F
#清空filter表中所有的规则

iptables -A INPUT -s 192.168.0.1 -j DROP 
#增加一条规则，丢弃192.168.0.1主机发送给防火墙本机的所有数据包

iptables -I INPUT -s 192.168.0.22 -P icmp -j REJECT
#增加一条规则，拒绝192.168.0.22ping本机

iptables -nL --line-number
#查看防火墙的规则并显示编号

iptables -D INPUT 1
#删除INPUT链中的第一条规则

iptables -R INPUT 2 ! -s 192.168.0.254 -j REJECT
#替换filter表中INPUT链的第二条规则，拒绝192.168.0.254 之外的任何主机连接本机

iptables -t filter -P INPUT ACCEPT
#修改filter表中INPUT链的默认规则为接收数据包

iptables -I INPUT -s 192.168.0.10 -p tcp --dport 22 -j LOG
#将发送给本机22端口的所有数据包信息记录到messages日志

iptables -I INPUT -i eth0 --p tcp --dport 80 -j ACCEPT
#允许任何主机从eth0网络接口访问防火墙本机的80端口