iptables规则管理

查看规则

iptables -t filter -L INPUT -n -v --line 

省略-t选项时，表示默认操作filter表中的规则

添加规则

注意点：添加规则时，规则的顺序非常重要

 -A   APPEND  在指定表的指定链的尾部添加一条规则

 iptables -t filter -A INPUT -s 192.168.1.146 -j DROP

-I     INSERT   在指定表的指定链的首部添加一条规则

iptables -t filter -I INPUT -s 192.168.1.146 -j ACCEPT

在指定表的指定链的指定位置添加一条规则

iptables -t filter -I INPUT 5 -s 192.168.1.146 -j REJECT

 

设置指定表的指定链的默认策略（默认动作），并非添加规则。

iptables -t filter -P FORWARD ACCEPT

上例表示将filter表中FORWARD链的默认策略设置为ACCEPT

删除规则

注意点：如果没有保存规则，删除规则时请慎重

 

按照规则序号删除规则，删除指定表的指定链的指定规则，-D选项表示删除对应链中的规则。

iptables -t filter -D INPUT 3

上述示例表示删除filter表中INPUT链中序号为3的规则。

 

按照具体的匹配条件与动作删除规则，删除指定表的指定链的指定规则。

iptables -t filter -D INPUT -s 192.168.1.146 -j DROP

上述示例表示删除filter表中INPUT链中源地址为192.168.1.146并且动作为DROP的规则。

清空规则

删除指定表的指定链中的所有规则，-F选项表示清空对应链中的规则，执行时需三思。 -F--flush

iptables -t filter -F INPUT

 

删除指定表中的所有规则，执行时需三思。

iptables -t filter -F

修改规则

注意点：如果使用-R选项修改规则中的动作，那么必须指明原规则中的原匹配条件，例如源IP，目标IP等。 -R--replace

修改指定表中指定链的指定规则，-R选项表示修改对应链中的规则，使用-R选项时要同时指定对应的链以及规则对应的序号，并且规则中原本的匹配条件不可省略。

iptables -t filter -R INPUT 3 -s 192.168.1.146 -j ACCEPT

上述示例表示修改filter表中INPUT链的第3条规则，将这条规则的动作修改为ACCEPT， -s 192.168.1.146为这条规则中原本的匹配条件，如果省略此匹配条件，修改后的规则中的源地址可能会变为0.0.0.0/0。

 

其他修改规则的方法：先通过编号删除规则，再在原编号位置添加一条规则。

 

修改指定表的指定链的默认策略（默认动作），并非修改规则，可以使用如下命令。

iptables -t filter -P FORWARD ACCEPT

上例表示将filter表中FORWARD链的默认策略修改为ACCEPT

保存规则

保存规则命令如下，表示将iptables规则保存至/etc/sysconfig/iptables文件中，如果对应的操作没有保存，那么当重启iptables服务以后

service iptables save

注意点：centos7中使用默认使用firewalld，如果想要使用上述命令保存规则，需要安装iptables-service，具体配置过程请回顾上文。

或者使用如下方法保存规则

iptables-save > /etc/sysconfig/iptables

可以使用如下命令从指定的文件载入规则，注意：重载规则时，文件中的规则将会覆盖现有规则。

iptables-restore < /etc/sysconfig/iptables