iptables命令的使用備忘

NetFilter/iptables更詳細文檔請看http://linux.dalouis.com/doc/iptables/
iptables -t filter -L INPUT -nv
查看錶filter的INPUT鏈的規則

iptables -N UserChain
添加用戶自定義鏈

iptables -X UserChain
刪除用戶自定義鏈

iptables -t filter -F
刪除表filter的所有鏈的規則

iptables -t filter -D INPUT 5
刪除規則

iptables -t filter -Z
計數器清零

iptables -t filter -P INPUT ACCEPT (DROP)
設置鏈的默認規則

iptables -t filter -A INPUT -p !tcp -s !192.168.0.2 -d 192.168.0.1 -i !eth0 -o !eth1 --sport 123 --dport 234 -j DROP
filter表的INPUT鏈的最後添加一條規則,非tcp協議,源IP地址爲非192.168.0.2,目的IP地址爲192.168.0.1,源端口爲123,目的端口爲234,進入的接口不是eth0出去的接口不是eth1的包,DROP掉

iptables -t filter -I INPUT 5 -m mac --mac-soure XX:XX:XX:XX:XX:XX -m limit --limit 10/minute -j LOG --log-level 6 --log-prefix "MAC matching:"
filter表的INPUT鏈的第五行位置添加一條規則,匹配MAC源地址爲XX:XX:XX:XX:XX:XX的包,做10/minute的速率的LOG記錄,且記錄等級爲6,記錄的首標識爲“MAC matching“

iptables -t filter -R INPUT 5 -p udp -m multiport --sport 12,123,1234,12345 --dport 21,321,4321,54321 --reject-with icmp-port-unreachable
filter表的INPUT鏈的第五行替換爲以下規則,當包匹配協議爲udp源端口組爲12,123,1234,12345,目的端口組爲1,321,4321,54321時,返回一個錯誤信息爲icmp-port-unreachable

iptables -t nat -A POSTROUTING -o ${PPP_IF} -j MASQUERADE
iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to ${NAT_IP}
PPPoE和LAN情況下啓動NAT功能

iptables -t nat -A PREROUTING -d ${IP_ADDR} -p tcp --dport 80 -i ${PPP_IF} -j DNAT --to ${DMZ_WEB_IP}:80
端口映射