IPtables常用命令及參數(shù)指南：

　　我們將要介紹所有的command以及它們的用途。command指定iptables 對我們提交的規(guī)則要做什么樣的操作。這些操作可能是在某個表里增加或刪除一些東西，或做點(diǎn)兒其他什么。 我們將要介紹所有的command以及它們的用途。command指定iptables常用命令對我們提交的規(guī)則要做什么樣的操作。這些操作可能是在某個表里增加或刪除一些東西，或做點(diǎn)兒其他什么。以下是iptables常用命令可用的command(要注意，如不做說明，默認(rèn)表的是 filter表。

　　Command-A, --append  
 
　　Example iptables -A INPUT ...  
 

　　Explanation在所選擇的鏈末添加規(guī)則。當(dāng)源地址或目的地址是以名字而不是ip地址的形式出現(xiàn)時，若這些名字可以被解析為多個地址，則這條規(guī)則會和所有可用的地址結(jié)合。

　　Command-D, --delete  
 
　　Example iptables -D INPUT --dport 80 -j DROP或iptables -D INPUT 1  
 

　　Explanation從所選鏈中刪除規(guī)則。有兩種方法指定要刪除的規(guī)則：一是把規(guī)則完完整整地寫出來，再就是指定規(guī)則在所選鏈中的序號(每條鏈的規(guī)則都各自從1被編號)。

　　Command-R, --replace  
 
　　Example iptables -R INPUT 1 -s 192.168.0.1 -j DROP  
 

　　Explanation在所選中的鏈里指定的行上(每條鏈的規(guī)則都各自從1被編號)替換規(guī)則。它主要的用處是試驗(yàn)不同的規(guī)則。當(dāng)源地址或目的地址是以名字而不是ip地址的形式出現(xiàn)時，若這些名字可以被解析為多個地址，則這條command會失敗。

　　Command-I, --insert  
 
　　Example iptables -I INPUT 1 --dport 80 -j ACCEPT  
 

　　Explanation根據(jù)給出的規(guī)則序號向所選鏈中插入規(guī)則。如果序號為1，規(guī)則會被插入鏈的頭部，其實(shí)默認(rèn)序號就是1。

　　Command-L, --list  
 
　　Example iptables -L INPUT  
 

　　Explanation顯示所選鏈的所有規(guī)則。如果沒有指定鏈，則顯示指定表中的所有鏈。如果什么都沒有指定，就顯示默認(rèn)表所有的鏈。精確輸出受其它參數(shù)影響，如-n 和-v等參數(shù)，下面會介紹。

　　Command-F, --flush  
 
　　Example iptables -F INPUT  
 

　　Explanation清空所選的鏈。如果沒有指定鏈，則清空指定表中的所有鏈。如果什么都沒有指定，就清空默認(rèn)表所有的鏈。當(dāng)然，也可以一條一條地刪，但用這個command會快些。

　　Command-Z, --zero  
 
　　Example iptables -Z INPUT  
 

　　Explanation把指定鏈(如未指定，則認(rèn)為是所有鏈)的所有計(jì)數(shù)器歸零。

　　Command-N, --new-chain  
 
　　Example iptables -N allowed  
 

　　Explanation根據(jù)用戶指定的名字建立新的鏈。上面的例子建立了一個名為allowed的鏈。注意，所用的名字不能和已有的鏈、target同名。

　　Command-X, --delete-chain  
 
　　Example iptables -X allowed  
 

　　Explanation刪除指定的用戶自定義鏈。這個鏈必須沒有被引用，如果被引用，在刪除之前你必須刪除或者替換與之有關(guān)的規(guī)則。如果沒有給出參數(shù)，這條命令將會刪除默認(rèn)表所有非內(nèi)建的鏈。

　　Command-P, --policy  
 
　　Example iptables -P INPUT DROP  
 

　　Explanation為鏈設(shè)置默認(rèn)的target(可用的是DROP 和ACCEPT，如果還有其它的可用，請告訴我)，這個target稱作策略。所有不符合規(guī)則的包都被強(qiáng)制使用這個策略。只有內(nèi)建的鏈才可以使用規(guī)則。但內(nèi)建的鏈和用戶自定義鏈都不能被作為策略使用，也就是說不能象這樣使用：iptables -P INPUT allowed(或者是內(nèi)建的鏈)。

　　Command-E, --rename-chain  
 
　　Example iptables -E allowed disallowed  
 

　　Explanation對自定義的鏈進(jìn)行重命名，原來的名字在前，新名字在后。如上，就是把a(bǔ)llowed改為disallowed。這僅僅是改變鏈的名字，對整個表的結(jié)構(gòu)、工作沒有任何影響。

　　在使用iptables時，如果必須的參數(shù)沒有輸入就按了回車，那么它就會給出一些提示信息：告訴你需要哪些參數(shù)等等。iptables的選項(xiàng)-v用來顯示iptables的版本，-h給出語法的簡短說明。。下面將要介紹的就是部分選項(xiàng)，還有它們的作用。

　　Table 6-3. Options

　　Option(選項(xiàng))-v, --verbose(詳細(xì)的)

　　可用此選項(xiàng)的命令--list, --append, --insert, --delete, --replace

　　Explanation(說明)這個選項(xiàng)使輸出詳細(xì)化，常與--list 連用。與--list連用時，輸出中包括網(wǎng)絡(luò)接口的地址、規(guī)則的選項(xiàng)、TOS掩碼、字節(jié)和包計(jì)數(shù)器，其中計(jì)數(shù)器是以K、M、G(這里用的是10的冪而不是2的冪哦)為單位的。如果想知道到底有多少個包、多少字節(jié)，還要用到選項(xiàng)-x，下面會介紹。如果-v 和--append、--insert、--delete 或--replace連用，iptables會輸出詳細(xì)的信息告訴你規(guī)則是如何被解釋的、是否正確地插入等等。

　　Option-x, --exact(精確的)  
 
　　Commands used with--list  
 

　　Explanation使--list輸出中的計(jì)數(shù)器顯示準(zhǔn)確的數(shù)值，而不用K、M、G等估值。注意此選項(xiàng)只能和--list連用。

　　Option-n, --numeric(數(shù)值)  
 
　　Commands used with--list  
 

　　Explanation使輸出中的IP地址和端口以數(shù)值的形式顯示，而不是默認(rèn)的名字，比如主機(jī)名、網(wǎng)絡(luò)名、程序名等。注意此選項(xiàng)也只能和--list連用。

　　Option--line-numbers  
 
　　Commands used with--list  
 

　　Explanation又是一個只能和--list連用的選項(xiàng)，作用是顯示出每條規(guī)則在相應(yīng)鏈中的序號。這樣你可以知道序號了，這對插入新規(guī)則很有用哦。

　　Option-c, --set-counters  
 
　　Commands used with--insert, --append, --replace  
 

　　Explanation在創(chuàng)建或更改規(guī)則時設(shè)置計(jì)數(shù)器，語法如下：--set-counters 20 4000，意思是讓內(nèi)核把包計(jì)數(shù)器設(shè)為20，把字節(jié)計(jì)數(shù)器設(shè)為4000。

　　Option--modprobe  
 
　　Commands used withAll  
 

　　Explanation此選項(xiàng)告訴iptables常用命令探測并裝載要使用的模塊。這是非常有用的一個選項(xiàng)，萬一modprobe命令不在搜索路徑中，就要用到了。有了這個選項(xiàng)，在裝載模塊時，即使有一個需要用到的模塊沒裝載上，iptables也知道要去搜索。

【編輯推薦】

Linux下用iptables上網(wǎng)

使用Iptables進(jìn)行并發(fā)連接限制

如何用IPtables限制網(wǎng)絡(luò)流量