iptables 命令使用帮助总结

本文为博主原创，转载请注明出处：

1.iptables 命令帮助参数

root@controller1:~# iptables --help
iptables v1.6.1Usage: iptables -[ACD] chain rule-specification [options]iptables -I chain [rulenum] rule-specification [options]iptables -R chain rulenum rule-specification [options]iptables -D chain rulenum [options]iptables -[LS] [chain [rulenum]] [options]iptables -[FZ] [chain] [options]iptables -[NX] chainiptables -E old-chain-name new-chain-nameiptables -P chain target [options]iptables -h (print this help information)Commands:
Either long or short options are allowed.--append  -A chain            Append to chain--check   -C chain            Check for the existence of a rule--delete  -D chain            Delete matching rule from chain--delete  -D chain rulenumDelete rule rulenum (1 = first) from chain--insert  -I chain [rulenum]Insert in chain as rulenum (default 1=first)--replace -R chain rulenumReplace rule rulenum (1 = first) in chain--list    -L [chain [rulenum]]List the rules in a chain or all chains--list-rules -S [chain [rulenum]]Print the rules in a chain or all chains--flush   -F [chain]          Delete all rules in  chain or all chains--zero    -Z [chain [rulenum]]Zero counters in chain or all chains--new     -N chain            Create a new user-defined chain--delete-chain-X [chain]          Delete a user-defined chain--policy  -P chain targetChange policy on chain to target--rename-chain-E old-chain new-chainChange chain name, (moving any references)
Options:--ipv4      -4              Nothing (line is ignored by ip6tables-restore)--ipv6      -6              Error (line is ignored by iptables-restore)
[!] --protocol  -p proto        protocol: by number or name, eg. `tcp'
[!] --source    -s address[/mask][...]source specification
[!] --destination -d address[/mask][...]destination specification
[!] --in-interface -i input name[+]network interface name ([+] for wildcard)--jump -j targettarget for rule (may load target extension)--goto      -g chainjump to chain with no return--match       -m matchextended match (may load extension)--numeric     -n              numeric output of addresses and ports
[!] --out-interface -o output name[+]network interface name ([+] for wildcard)--table       -t table        table to manipulate (default: `filter')--verbose     -v              verbose mode--wait        -w [seconds]    maximum wait to acquire xtables lock before give up--wait-interval -W [usecs]    wait time to try to acquire xtables lockdefault is 1 second--line-numbers                print line numbers when listing--exact       -x              expand numbers (display exact values)
[!] --fragment  -f              match second or further fragments only--modprobe=<command>          try to insert modules using this command--set-counters PKTS BYTES     set the counter during insert/append
[!] --version   -V              print package version.

2.iptables 常用参数

1. -L, --list
   • 列出所有规则链。
   • 示例：iptables -L 列出所有链的默认规则。
2. -A, --append
   • 向指定链追加一条规则。
   • 示例：iptables -A INPUT -p tcp --dport 22 -j ACCEPT 向 INPUT 链追加一条规则，允许所有到 TCP 端口 22 的连接。
3. -D, --delete
   • 删除链中的一条规则。
   • 示例：iptables -D INPUT -p tcp --dport 22 -j ACCEPT 删除 INPUT 链中允许 TCP 端口 22 的规则。
4. -I, --insert
   • 在链的指定位置插入一条规则。
   • 示例：iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT 在 INPUT 链的第一条规则之前插入一条允许 TCP 端口 80 的规则。
5. -R, --replace
   • 替换链中的一条规则。
   • 示例：iptables -R INPUT 1 -p tcp --dport 8080 -j ACCEPT 替换 INPUT 链中第一条规则为允许 TCP 端口 8080 的规则。
6. -F, --flush
   • 删除链中的所有规则。
   • 示例：iptables -F INPUT 删除 INPUT 链中的所有规则。
7. -N, --new-chain
   • 创建一个新的用户自定义链。
   • 示例：iptables -N MYCHAIN 创建一个名为 MYCHAIN 的新链。
8. -X, --delete-chain
   • 删除一个用户自定义链。
   • 示例：iptables -X MYCHAIN 删除名为 MYCHAIN 的链。
9. -P, --policy
   • 设置链的默认策略。
   • 示例：iptables -P INPUT DROP 将 INPUT 链的默认策略设置为 DROP。
10. -j, --jump
    • 指定匹配的数据包应该跳转到的目标。
    • 示例：iptables -A INPUT -p tcp --dport 22 -j ACCEPT 匹配的数据包将被接受（ACCEPT）。

　　11. -v, --verbose

• • 显示更详细的信息。这通常包括每个规则的匹配次数、数据包数、字节数等统计信息。

  •  

3.常用命令

　　1.删除现有规则

iptables -F
(OR)
iptables --flush

　　2.屏蔽指定的IP地址

　　以下规则将屏蔽BLOCK_THIS_IP所指定的IP地址访问本地主机：

BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP
(或者仅屏蔽来自该IP的TCP数据包）
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

　　3.允许来自外部的ping测试

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

　　4.允许从本机ping外部主机

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

　　5.允许环回(loopback)访问

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

　　6.允许 SSH 访问

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

　　7.允许 HTTP 访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

　　8.拒绝所有其他入站连接

iptables -P INPUT DROP

　　注意：这里使用了 -P INPUT DROP 来设置 INPUT 链的默认策略为 DROP，这意味着除非明确允许，否则所有入站连接都将被拒绝。