查看规则
iptables -t filter -L INPUT -n -v --line
省略-t选项时,表示默认操作filter表中的规则
添加规则
注意点:添加规则时,规则的顺序非常重要
-A APPEND 在指定表的指定链的尾部添加一条规则
iptables -t filter -A INPUT -s 192.168.1.146 -j DROP
-I INSERT 在指定表的指定链的首部添加一条规则
iptables -t filter -I INPUT -s 192.168.1.146 -j ACCEPT
在指定表的指定链的指定位置添加一条规则
iptables -t filter -I INPUT 5 -s 192.168.1.146 -j REJECT
设置指定表的指定链的默认策略(默认动作),并非添加规则。
iptables -t filter -P FORWARD ACCEPT
上例表示将filter表中FORWARD链的默认策略设置为ACCEPT
删除规则
注意点:如果没有保存规则,删除规则时请慎重
按照规则序号删除规则,删除指定表的指定链的指定规则,-D选项表示删除对应链中的规则。
iptables -t filter -D INPUT 3
上述示例表示删除filter表中INPUT链中序号为3的规则。
按照具体的匹配条件与动作删除规则,删除指定表的指定链的指定规则。
iptables -t filter -D INPUT -s 192.168.1.146 -j DROP
上述示例表示删除filter表中INPUT链中源地址为192.168.1.146并且动作为DROP的规则。
清空规则
删除指定表的指定链中的所有规则,-F选项表示清空对应链中的规则,执行时需三思。 -F--flush
iptables -t filter -F INPUT
删除指定表中的所有规则,执行时需三思。
iptables -t filter -F
修改规则
注意点:如果使用-R选项修改规则中的动作,那么必须指明原规则中的原匹配条件,例如源IP,目标IP等。 -R--replace
修改指定表中指定链的指定规则,-R选项表示修改对应链中的规则,使用-R选项时要同时指定对应的链以及规则对应的序号,并且规则中原本的匹配条件不可省略。
iptables -t filter -R INPUT 3 -s 192.168.1.146 -j ACCEPT
上述示例表示修改filter表中INPUT链的第3条规则,将这条规则的动作修改为ACCEPT, -s 192.168.1.146为这条规则中原本的匹配条件,如果省略此匹配条件,修改后的规则中的源地址可能会变为0.0.0.0/0。
其他修改规则的方法:先通过编号删除规则,再在原编号位置添加一条规则。
修改指定表的指定链的默认策略(默认动作),并非修改规则,可以使用如下命令。
iptables -t filter -P FORWARD ACCEPT
上例表示将filter表中FORWARD链的默认策略修改为ACCEPT
保存规则
保存规则命令如下,表示将iptables规则保存至/etc/sysconfig/iptables文件中,如果对应的操作没有保存,那么当重启iptables服务以后
service iptables save
注意点:centos7中使用默认使用firewalld,如果想要使用上述命令保存规则,需要安装iptables-service,具体配置过程请回顾上文。
或者使用如下方法保存规则
iptables-save > /etc/sysconfig/iptables
可以使用如下命令从指定的文件载入规则,注意:重载规则时,文件中的规则将会覆盖现有规则。
iptables-restore < /etc/sysconfig/iptables