從邏輯上講。防火墻可以大體分為主機(jī)防火墻和網(wǎng)絡(luò)防火墻。

主機(jī)防火墻：針對于單個主機(jī)進(jìn)行防護(hù)。

網(wǎng)絡(luò)防火墻：往往處于網(wǎng)絡(luò)入口或邊緣，針對于網(wǎng)絡(luò)入口進(jìn)行防護(hù)，服務(wù)于防火墻背后的本地局域網(wǎng)。

網(wǎng)絡(luò)防火墻和主機(jī)防火墻并不沖突，可以理解為，網(wǎng)絡(luò)防火墻主外（集體）， 主機(jī)防火墻主內(nèi)（個人）。

從物理上講，防火墻可以分為硬件防火墻和軟件防火墻。

硬件防火墻：在硬件級別實(shí)現(xiàn)部分防火墻功能，另一部分功能基于軟件實(shí)現(xiàn)，性能高，成本高。

軟件防火墻：應(yīng)用軟件處理邏輯運(yùn)行于通用硬件平臺之上的防火墻，性能低，成本低。

iptables其實(shí)不是真正的防火墻，我們可以把它理解成一個客戶端代理，用戶通過iptables這個代理，將用戶的安全設(shè)定執(zhí)行到對應(yīng)的"安全框架"中，這個"安全框架"才是真正的防火墻，這個框架的名字叫netfilter

Netfilter是Linux操作系統(tǒng)核心層內(nèi)部的一個數(shù)據(jù)包處理模塊，它具有如下功能：
網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translate)
數(shù)據(jù)包內(nèi)容修改
以及數(shù)據(jù)包過濾的防火墻功能

iptables_概念.png

所以說，雖然我們使用service iptables start啟動iptables"服務(wù)"，但是其實(shí)準(zhǔn)確的來說，iptables并沒有一個守護(hù)進(jìn)程，所以并不能算是真正意義上的服務(wù)，而應(yīng)該算是內(nèi)核提供的功能。

iptables基礎(chǔ)

我們知道iptables是按照規(guī)則來辦事的，我們就來說說規(guī)則（rules），規(guī)則其實(shí)就是網(wǎng)絡(luò)管理員預(yù)定義的條件，規(guī)則一般的定義為"如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個數(shù)據(jù)包"。規(guī)則存儲在內(nèi)核空間的信息包過濾表中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議（如TCP、UDP、ICMP）和服務(wù)類型（如HTTP、FTP和SMTP）等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時，iptables就根據(jù)規(guī)則所定義的方法來處理這些數(shù)據(jù)包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。

當(dāng)客戶端訪問服務(wù)器的web服務(wù)時，客戶端發(fā)送報文到網(wǎng)卡，而tcp/ip協(xié)議棧是屬于內(nèi)核的一部分，所以，客戶端的信息會通過內(nèi)核的TCP協(xié)議傳輸?shù)接脩艨臻g中的web服務(wù)中，而此時，客戶端報文的目標(biāo)終點(diǎn)為web服務(wù)所監(jiān)聽的套接字（IP：Port）上，當(dāng)web服務(wù)需要響應(yīng)客戶端請求時，web服務(wù)發(fā)出的響應(yīng)報文的目標(biāo)終點(diǎn)則為客戶端，這個時候，web服務(wù)所監(jiān)聽的IP與端口反而變成了原點(diǎn)，我們說過，netfilter才是真正的防火墻，它是內(nèi)核的一部分，所以，如果我們想要防火墻能夠達(dá)到"防火"的目的，則需要在內(nèi)核中設(shè)置關(guān)卡，所有進(jìn)出的報文都要通過這些關(guān)卡，經(jīng)過檢查后，符合放行條件的才能放行，符合阻攔條件的則需要被阻止，于是，就出現(xiàn)了input關(guān)卡和output關(guān)卡，而這些關(guān)卡在iptables中不被稱為"關(guān)卡",而被稱為"鏈"。

iptables_簡圖.png

也就是其他"鏈"，他們就是 "路由前"、"轉(zhuǎn)發(fā)"、"路由后"，他們的英文名是

PREROUTING、FORWARD、POSTROUTING

也就是說，當(dāng)我們啟用了防火墻功能時，報文需要經(jīng)過如下關(guān)卡，也就是說，根據(jù)實(shí)際情況的不同，報文經(jīng)過"鏈"可能不同。如果報文需要轉(zhuǎn)發(fā)，那么報文則不會經(jīng)過input鏈發(fā)往用戶空間，而是直接在內(nèi)核空間中經(jīng)過forward鏈和postrouting鏈轉(zhuǎn)發(fā)出去的。

iptables_概念圖2.png

所以，根據(jù)上圖，我們能夠想象出某些常用場景中，報文的流向：

到本機(jī)某進(jìn)程的報文：PREROUTING --> INPUT

由本機(jī)轉(zhuǎn)發(fā)的報文：PREROUTING --> FORWARD --> POSTROUTING

由本機(jī)的某進(jìn)程發(fā)出報文（通常為響應(yīng)報文）：OUTPUT --> POSTROUTING

鏈的概念

iptables_表.png

表的概念

我們再想想另外一個問題，我們對每個"鏈"上都放置了一串規(guī)則，但是這些規(guī)則有些很相似，比如，A類規(guī)則都是對IP或者端口的過濾，B類規(guī)則是修改報文，那么這個時候，我們是不是能把實(shí)現(xiàn)相同功能的規(guī)則放在一起呢，必須能的。

我們把具有相同功能的規(guī)則的集合叫做"表"，所以說，不同功能的規(guī)則，我們可以放置在不同的表中進(jìn)行管理，而iptables已經(jīng)為我們定義了4種表，每種表對應(yīng)了不同的功能，而我們定義的規(guī)則也都逃脫不了這4種功能的范圍，所以，學(xué)習(xí)iptables之前，我們必須先搞明白每種表 的作用。

iptables為我們提供了如下規(guī)則的分類，或者說，iptables為我們提供了如下"表"

filter表：負(fù)責(zé)過濾功能，防火墻；內(nèi)核模塊：iptables_filter

nat表：network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換功能；內(nèi)核模塊：iptable_nat

mangle表：拆解報文，做出修改，并重新封裝 的功能；iptable_mangle

raw表：關(guān)閉nat表上啟用的連接追蹤機(jī)制；iptable_raw

也就是說，我們自定義的所有規(guī)則，都是這四種分類中的規(guī)則，或者說，所有規(guī)則都存在于這4張"表"中。

表鏈關(guān)系

但是我們需要注意的是，某些"鏈"中注定不會包含"某類規(guī)則"，就像某些"關(guān)卡"天生就不具備某些功能一樣，比如，A"關(guān)卡"只負(fù)責(zé)打擊陸地敵人，沒有防空能力，B"關(guān)卡"只負(fù)責(zé)打擊空中敵人，沒有防御步兵的能力，C"關(guān)卡"可能比較NB，既能防空，也能防御陸地敵人，D"關(guān)卡"最屌，海陸空都能防。
nat 表中的規(guī)則可以被哪些鏈?zhǔn)褂茫篜REROUTING，OUTPUT，POSTROUTING（centos7中還有INPUT，centos6中沒有）

filter 表中的規(guī)則可以被哪些鏈?zhǔn)褂茫篒NPUT，F(xiàn)ORWARD，OUTPUT

iptables_流程圖.png

我們在寫Iptables規(guī)則的時候，要時刻牢記這張路由次序圖，靈活配置規(guī)則。

規(guī)則的概念

說了一圈又說回來了，在上述描述中我們一直在提規(guī)則，可是沒有細(xì)說，現(xiàn)在說說它。

先說說規(guī)則的概念，然后再通俗的解釋它。

規(guī)則：根據(jù)指定的匹配條件來嘗試匹配每個流經(jīng)此處的報文，一旦匹配成功，則由規(guī)則后面指定的處理動作進(jìn)行處理；

那么我們來通俗的解釋一下什么是iptables的規(guī)則，之前打過一個比方，每條"鏈"都是一個"關(guān)卡"，每個通過這個"關(guān)卡"的報文都要匹配這個關(guān)卡上的規(guī)則，如果匹配，則對報文進(jìn)行對應(yīng)的處理，比如說，你我二人此刻就好像兩個"報文"，你我二人此刻都要入關(guān)，可是城主有命，只有器宇軒昂的人才能入關(guān)，不符合此條件的人不能入關(guān)，于是守關(guān)將士按照城主制定的"規(guī)則"，開始打量你我二人，最終，你順利入關(guān)了，而我已被拒之門外，因為你符合"器宇軒昂"的標(biāo)準(zhǔn)，所以把你"放行"了，而我不符合標(biāo)準(zhǔn)，所以沒有被放行，其實(shí)，"器宇軒昂"就是一種"匹配條件"，"放行"就是一種"動作"，"匹配條件"與"動作"組成了規(guī)則。

了解了規(guī)則的概念，那我們來聊聊規(guī)則的組成部分,此處只是大概的將規(guī)則的結(jié)構(gòu)列出，后面的文章中會單獨(dú)對規(guī)則進(jìn)行總結(jié)。

規(guī)則由匹配條件和處理動作組成。

匹配條件
匹配條件分為基本匹配條件與擴(kuò)展匹配條件

基本匹配條件：

源地址Source IP，目標(biāo)地址 Destination IP

上述內(nèi)容都可以作為基本匹配條件。

擴(kuò)展匹配條件：

除了上述的條件可以用于匹配，還有很多其他的條件可以用于匹配，這些條件泛稱為擴(kuò)展條件，這些擴(kuò)展條件其實(shí)也是netfilter中的一部分，只是以模塊的形式存在，如果想要使用這些條件，則需要依賴對應(yīng)的擴(kuò)展模塊。

源端口Source Port, 目標(biāo)端口Destination Port

上述內(nèi)容都可以作為擴(kuò)展匹配條件

處理動作

處理動作在iptables中被稱為target（這樣說并不準(zhǔn)確，我們暫且這樣稱呼），動作也可以分為基本動作和擴(kuò)展動作。

此處列出一些常用的動作，之后的文章會對它們進(jìn)行詳細(xì)的示例與總結(jié)：

ACCEPT：允許數(shù)據(jù)包通過。

DROP：直接丟棄數(shù)據(jù)包，不給任何回應(yīng)信息，這時候客戶端會感覺自己的請求泥牛入海了，過了超時時間才會有反應(yīng)。

REJECT：拒絕數(shù)據(jù)包通過，必要時會給數(shù)據(jù)發(fā)送端一個響應(yīng)的信息，客戶端剛請求就會收到拒絕的信息。

SNAT：源地址轉(zhuǎn)換，解決內(nèi)網(wǎng)用戶用同一個公網(wǎng)地址上網(wǎng)的問題。

MASQUERADE：是SNAT的一種特殊形式，適用于動態(tài)的、臨時會變的ip上。

DNAT：目標(biāo)地址轉(zhuǎn)換。

REDIRECT：在本機(jī)做端口映射。

LOG：在/var/log/messages文件中記錄日志信息，然后將數(shù)據(jù)包傳遞給下一條規(guī)則，也就是說除了記錄以外不對數(shù)據(jù)包做任何其他操作，仍然讓下一條規(guī)則去匹配。

filter表

iptables為我們預(yù)定義了4張表，它們分別是raw表、mangle表、nat表、filter表，不同的表擁有不同的功能。

filter負(fù)責(zé)過濾功能，比如允許哪些IP地址訪問，拒絕哪些IP地址訪問，允許訪問哪些端口，禁止訪問哪些端口，filter表會根據(jù)我們定義的規(guī)則進(jìn)行過濾，filter表應(yīng)該是我們最常用到的表了，所以此處，我們以filter表為例，開始學(xué)習(xí)怎樣實(shí)際操作iptables。

怎樣查看filter表中的規(guī)則呢？使用如下命令即可查看。

[root@lb01 ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

filter是默認(rèn)表也可以不指定

[root@lb01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    

我們使用-t選項，指定要操作的表，使用-L選項，查看-t選項對應(yīng)的表的規(guī)則，-L選項的意思是，列出規(guī)則，所以，上述命令的含義為列出filter表的所有規(guī)則，上圖中，顯示出了3條鏈，INPUT鏈、FORWARD鏈、OUTPUT鏈，每條鏈中都有自己的規(guī)則，前文中，我們打過一個比方，把"鏈"比作"關(guān)卡"，不同的"關(guān)卡"擁有不同的能力，所以，從上圖中可以看出，INPUT鏈、FORWARD鏈、OUTPUT鏈都擁有"過濾"的能力，所以，當(dāng)我們要定義某條"過濾"的規(guī)則時，我們會在filter表中定義，但是具體在哪條"鏈"上定義規(guī)則呢？這取決于我們的工作場景。比如，我們需要禁止某個IP地址訪問我們的主機(jī)，我們則需要在INPUT鏈上定義規(guī)則。因為，我們在理論總結(jié)中已經(jīng)提到過，報文發(fā)往本機(jī)時，會經(jīng)過PREROUTING鏈與INPUT鏈（如果你沒有明白，請回顧前文），所以，如果我們想要禁止某些報文發(fā)往本機(jī)，我們只能在PREROUTING鏈和INPUT鏈中定義規(guī)則，但是PREROUTING鏈并不存在于filter表中，換句話說就是，PREROUTING關(guān)卡天生就沒有過濾的能力，所以，我們只能在INPUT鏈中定義，當(dāng)然，如果是其他工作場景，可能需要在FORWARD鏈或者OUTPUT鏈中定義過濾規(guī)則。
我們可以使用iptables -t filter -L命令列出filter表中的所有規(guī)則，那么舉一反三，我們也可以查看其它表中的規(guī)則，示例如下。

iptables -t raw -L

iptables -t mangle -L

iptables -t nat -L

其實(shí)，我們可以省略-t filter，當(dāng)沒有使用-t選項指定表時，默認(rèn)為操作filter表，即iptables -L表示列出filter表中的所有規(guī)則。
我們還可以只查看指定表中的指定鏈的規(guī)則，比如，我們只查看filter表中INPUT鏈的規(guī)則

上圖中只顯示了filter表中INPUT鏈中的規(guī)則（省略-t選項默認(rèn)為filter表），當(dāng)然，你也可以指定只查看其他鏈，其實(shí)，我們查看到的信息還不是最詳細(xì)的信息，我們可以使用-v選項，查看出更多的、更詳細(xì)的信息.

[root@lb01 ~]# iptables -t filter -I INPUT -p tcp -s 10.0.0.0/24 --dport 9999 -j DROP
[root@lb01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 6 packets, 428 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       10.0.0.0/24          0.0.0.0/0            tcp dpt:9999
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9999

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4 packets, 560 bytes)
 pkts bytes target     prot opt in     out     source               destination         

可以看到，使用-v選項后，iptables為我們展示的信息更多了，那么，這些字段都是什么意思呢？我們來總結(jié)一下，看不懂沒關(guān)系，等到實(shí)際使用的時候，自然會明白，此處大概了解一下即可。

其實(shí)，這些字段就是規(guī)則對應(yīng)的屬性，說白了就是規(guī)則的各種信息，那么我們來總結(jié)一下這些字段的含義。

pkts:對應(yīng)規(guī)則匹配到的報文的個數(shù)。

bytes:對應(yīng)匹配到的報文包的大小總和。

target:規(guī)則對應(yīng)的target，往往表示規(guī)則對應(yīng)的"動作"，即規(guī)則匹配成功后需要采取的措施。

prot:表示規(guī)則對應(yīng)的協(xié)議，是否只針對某些協(xié)議應(yīng)用此規(guī)則。

opt:表示規(guī)則對應(yīng)的選項。

in:表示數(shù)據(jù)包由哪個接口(網(wǎng)卡)流入，我們可以設(shè)置通過哪塊網(wǎng)卡流入的報文需要匹配當(dāng)前規(guī)則。

out:表示數(shù)據(jù)包由哪個接口(網(wǎng)卡)流出，我們可以設(shè)置通過哪塊網(wǎng)卡流出的報文需要匹配當(dāng)前規(guī)則。

source:表示規(guī)則對應(yīng)的源頭地址，可以是一個IP，也可以是一個網(wǎng)段。

destination:表示規(guī)則對應(yīng)的目標(biāo)地址?？梢允且粋€IP，也可以是一個網(wǎng)段。

[root@lb01 ~]# iptables -vL
Chain INPUT (policy ACCEPT 21 packets, 1596 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  any    any     10.0.0.0/24          anywhere             tcp dpt:distinct
    0     0 DROP       tcp  --  any    any     anywhere             anywhere             tcp dpt:distinct

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16 packets, 2056 bytes)
 pkts bytes target     prot opt in     out     source               destination         

細(xì)心如你一定發(fā)現(xiàn)了，上圖中的源地址與目標(biāo)地址都為anywhere，看來，iptables默認(rèn)為我們進(jìn)行了名稱解析，但是在規(guī)則非常多的情況下如果進(jìn)行名稱解析，效率會比較低，所以，在沒有此需求的情況下，我們可以使用-n選項，表示不對IP地址進(jìn)行名稱反解，直接顯示IP地址
如果你習(xí)慣了查看有序號的列表，你在查看iptables表中的規(guī)則時肯定會很不爽，沒有關(guān)系，滿足你，使用--line-numbers即可顯示規(guī)則的編號，示例如下。

[root@lb01 ~]# iptables -nvL --line
Chain INPUT (policy ACCEPT 48 packets, 3588 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       10.0.0.0/24          0.0.0.0/0            tcp dpt:9999
2        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:9999

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 34 packets, 4355 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

--line-numbers選項并沒有對應(yīng)的短選項，不過我們縮寫成--line時，centos中的iptables也可以識別。
上圖中INPUT鏈后面的括號中包含policy ACCEPT ，0 packets，0bytes 三部分。

policy表示當(dāng)前鏈的默認(rèn)策略，policy ACCEPT表示上圖中INPUT的鏈的默認(rèn)動作為ACCEPT，換句話說就是，默認(rèn)接受通過INPUT關(guān)卡的所有請求，所以我們在配置INPUT鏈的具體規(guī)則時，應(yīng)該將需要拒絕的請求配置到規(guī)則中，說白了就是"黑名單"機(jī)制，默認(rèn)所有人都能通過，只有指定的人不能通過，當(dāng)我們把INPUT鏈默認(rèn)動作設(shè)置為接受(ACCEPT)，就表示所有人都能通過這個關(guān)卡，此時就應(yīng)該在具體的規(guī)則中指定需要拒絕的請求，就表示只有指定的人不能通過這個關(guān)卡，這就是黑名單機(jī)制，但是，你一定發(fā)現(xiàn)了，上圖中所顯示出的規(guī)則，大部分都是接受請求(ACCEPT)，并不是想象中的拒絕請求(DROP或者REJECT)，這與我們所描述的黑名單機(jī)制不符啊，按照道理來說，默認(rèn)動作為接受，就應(yīng)該在具體的規(guī)則中配置需要拒絕的人，但是上圖中并不是這樣的，之所以出現(xiàn)上圖中的情況，是因為IPTABLES的工作機(jī)制導(dǎo)致到，上例其實(shí)是利用了這些"機(jī)制"，完成了所謂的"白名單"機(jī)制，并不是我們所描述的"黑名單"機(jī)制，我們此處暫時不用關(guān)注這一點(diǎn)，之后會進(jìn)行詳細(xì)的舉例并解釋，此處我們只要明白policy對應(yīng)的動作為鏈的默認(rèn)動作即可，或者換句話說，我們只要理解，policy為鏈的默認(rèn)策略即可。

packets表示當(dāng)前鏈（上例為INPUT鏈）默認(rèn)策略匹配到的包的數(shù)量，0 packets表示默認(rèn)策略匹配到0個包。

bytes表示當(dāng)前鏈默認(rèn)策略匹配到的所有包的大小總和。

其實(shí)，我們可以把packets與bytes稱作"計數(shù)器"，上圖中的計數(shù)器記錄了默認(rèn)策略匹配到的報文數(shù)量與總大小，"計數(shù)器"只會在使用-v選項時，才會顯示出來。

命令小節(jié)

好了，我們已經(jīng)會使用命令簡單的查看iptables表的規(guī)則了，為了方便以后回顧，我們將上文中的相關(guān)命令總結(jié)一下。

iptables -t 表名 -L

查看對應(yīng)表的所有規(guī)則，-t選項指定要操作的表，省略"-t 表名"時，默認(rèn)表示操作filter表，-L表示列出規(guī)則，即查看規(guī)則。

iptables -t 表名 -L 鏈名

查看指定表的指定鏈中的規(guī)則。

 iptables -t 表名 -v -L

查看指定表的所有規(guī)則，并且顯示更詳細(xì)的信息（更多字段），-v表示verbose，表示詳細(xì)的，冗長的，當(dāng)使用-v選項時，會顯示出"計數(shù)器"的信息，由于上例中使用的選項都是短選項，所以一般簡寫為iptables -t 表名 -vL

 iptables -t 表名 -n -L

表示查看表的所有規(guī)則，并且在顯示規(guī)則時，不對規(guī)則中的IP或者端口進(jìn)行名稱反解，-n選項表示不解析IP地址。

 iptables --line-numbers -t 表名 -L

表示查看表的所有規(guī)則，并且顯示規(guī)則的序號，--line-numbers選項表示顯示規(guī)則的序號，注意，此選項為長選項，不能與其他短選項合并，不過此選項可以簡寫為--line，注意，簡寫后仍然是兩條橫杠，仍然是長選項。

 iptables -t 表名 -v -x -L

表示查看表中的所有規(guī)則，并且顯示更詳細(xì)的信息(-v選項)，不過，計數(shù)器中的信息顯示為精確的計數(shù)值，而不是顯示為經(jīng)過可讀優(yōu)化的計數(shù)值，-x選項表示顯示計數(shù)器的精確值。

實(shí)際使用中，為了方便，往往會將短選項進(jìn)行合并，所以，如果將上述選項都糅合在一起，可以寫成如下命令，此處以filter表為例。

iptables --line -t filter -nvxL

當(dāng)然，也可以只查看某張表中的某條鏈，此處以filter表的INPUT鏈為例

iptables --line -t filter -nvxL INPUT

添加規(guī)則

注意點(diǎn)：添加規(guī)則時，規(guī)則的順序非常重要

在指定表的指定鏈的尾部添加一條規(guī)則，-A選項表示在對應(yīng)鏈的末尾添加規(guī)則，省略-t選項時，表示默認(rèn)操作filter表中的規(guī)則

命令語法：iptables -t 表名 -A 鏈名 匹配條件 -j 動作
示例：

iptables -t filter -A INPUT -s 192.168.1.146 -j DROP

在指定表的指定鏈的首部添加一條規(guī)則，-I選型表示在對應(yīng)鏈的開頭添加規(guī)則

iptables -t 表名 -I 鏈名 匹配條件 -j 動作
示例：

iptables -t filter -I INPUT -s 192.168.1.146 -j ACCEPT

命令語法：iptables -t 表名 -I 鏈名 匹配條件 -j 動作
示例：

iptables -t filter -I INPUT -s 192.168.1.146 -j ACCEPT

在指定表的指定鏈的指定位置添加一條規(guī)則

命令語法：iptables -t 表名 -I 鏈名 規(guī)則序號 匹配條件 -j 動作
示例：

iptables -t filter -I INPUT 5 -s 192.168.1.146 -j REJECT

命令語法：iptables -t 表名 -I 鏈名 規(guī)則序號 匹配條件 -j 動作
示例：

iptables -t filter -I INPUT 5 -s 192.168.1.146 -j REJECT

設(shè)置指定表的指定鏈的默認(rèn)策略（默認(rèn)動作），并非添加規(guī)則。

命令語法：iptables -t 表名 -P 鏈名 動作
示例：

iptables -t filter -P FORWARD ACCEPT

命令語法：iptables -t 表名 -P 鏈名 動作
示例：

iptables -t filter -P FORWARD ACCEPT

上例表示將filter表中FORWARD鏈的默認(rèn)策略設(shè)置為ACCEPT

刪除規(guī)則

注意點(diǎn)：如果沒有保存規(guī)則，刪除規(guī)則時請慎重

按照規(guī)則序號刪除規(guī)則，刪除指定表的指定鏈的指定規(guī)則，-D選項表示刪除對應(yīng)鏈中的規(guī)則。

[root@lb01 ~]# iptables -nL --line
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0    

命令語法：iptables -t 表名 -D 鏈名 規(guī)則序號
示例：

iptables -t filter -D INPUT 3

表示刪除filter表中INPUT鏈中序號為3的規(guī)則。

按照具體的匹配條件與動作刪除規(guī)則，刪除指定表的指定鏈的指定規(guī)則。

命令語法：iptables -t 表名 -D 鏈名 匹配條件 -j 動作
示例：

iptables -t filter -D INPUT -s 192.168.1.146 -j DROP

表示刪除filter表中INPUT鏈中源地址為192.168.1.146并且動作為DROP的規(guī)則。

刪除指定表的指定鏈中的所有規(guī)則，-F選項表示清空對應(yīng)鏈中的規(guī)則，執(zhí)行時需三思。

命令語法：iptables -t 表名 -F 鏈名
示例：

iptables -t filter -F INPUT

刪除指定表中的所有規(guī)則，執(zhí)行時需三思。

命令語法：iptables -t 表名 -F
示例：

iptables -t filter -F

修改規(guī)則

注意點(diǎn)：如果使用-R選項修改規(guī)則中的動作，那么必須指明原規(guī)則中的原匹配條件，例如源IP，目標(biāo)IP等。

修改指定表中指定鏈的指定規(guī)則，-R選項表示修改對應(yīng)鏈中的規(guī)則，使用-R選項時要同時指定對應(yīng)的鏈以及規(guī)則對應(yīng)的序號，并且規(guī)則中原本的匹配條件不可省略。

命令語法：iptables -t 表名 -R 鏈名 規(guī)則序號 規(guī)則原本的匹配條件 -j 動作
示例：

iptables -t filter -R INPUT 3 -s 192.168.1.146 -j ACCEPT

上述示例表示修改filter表中INPUT鏈的第3條規(guī)則，將這條規(guī)則的動作修改為ACCEPT， -s 192.168.1.146為這條規(guī)則中原本的匹配條件，如果省略此匹配條件，修改后的規(guī)則中的源地址可能會變?yōu)?.0.0.0/0。

其他修改規(guī)則的方法：先通過編號刪除規(guī)則，再在原編號位置添加一條規(guī)則。

修改指定表的指定鏈的默認(rèn)策略（默認(rèn)動作），并非修改規(guī)則，可以使用如下命令。

命令語法：iptables -t 表名 -P 鏈名 動作
示例：

iptables -t filter -P FORWARD ACCEPT

上例表示將filter表中FORWARD鏈的默認(rèn)策略修改為ACCEPT

保存規(guī)則

保存規(guī)則命令如下，表示將iptables規(guī)則保存至/etc/sysconfig/iptables文件中，如果對應(yīng)的操作沒有保存，那么當(dāng)重啟iptables服務(wù)以后

service iptables save
注意點(diǎn)：centos7中使用默認(rèn)使用firewalld，如果想要使用上述命令保存規(guī)則，需要安裝iptables-services，具體配置過程請回顧上文。

或者使用如下方法保存規(guī)則

iptables-save > /etc/sysconfig/iptables

可以使用如下命令從指定的文件載入規(guī)則，注意：重載規(guī)則時，文件中的規(guī)則將會覆蓋現(xiàn)有規(guī)則。

iptables-restore < /etc/sysconfig/iptables