IPtables常用命令及參數指南：

　　我們將要介紹所有的command以及它們的用途。command指定iptables 對我們提交的規(guī)則要做什么樣的操作。這些操作可能是在某個表里增加或刪除一些東西，或做點兒其他什么。 我們將要介紹所有的command以及它們的用途。command指定iptables常用命令對我們提交的規(guī)則要做什么樣的操作。這些操作可能是在某個表里增加或刪除一些東西，或做點兒其他什么。以下是iptables常用命令可用的command(要注意，如不做說明，默認表的是 filter表。

　　Command-A, --append  
 
　　Example iptables -A INPUT ...  
 

　　Explanation在所選擇的鏈末添加規(guī)則。當源地址或目的地址是以名字而不是ip地址的形式出現(xiàn)時，若這些名字可以被解析為多個地址，則這條規(guī)則會和所有可用的地址結合。

　　Command-D, --delete  
 
　　Example iptables -D INPUT --dport 80 -j DROP或iptables -D INPUT 1  
 

　　Explanation從所選鏈中刪除規(guī)則。有兩種方法指定要刪除的規(guī)則：一是把規(guī)則完完整整地寫出來，再就是指定規(guī)則在所選鏈中的序號(每條鏈的規(guī)則都各自從1被編號)。

　　Command-R, --replace  
 
　　Example iptables -R INPUT 1 -s 192.168.0.1 -j DROP  
 

　　Explanation在所選中的鏈里指定的行上(每條鏈的規(guī)則都各自從1被編號)替換規(guī)則。它主要的用處是試驗不同的規(guī)則。當源地址或目的地址是以名字而不是ip地址的形式出現(xiàn)時，若這些名字可以被解析為多個地址，則這條command會失敗。

　　Command-I, --insert  
 
　　Example iptables -I INPUT 1 --dport 80 -j ACCEPT  
 

　　Explanation根據給出的規(guī)則序號向所選鏈中插入規(guī)則。如果序號為1，規(guī)則會被插入鏈的頭部，其實默認序號就是1。

　　Command-L, --list  
 
　　Example iptables -L INPUT  
 

　　Explanation顯示所選鏈的所有規(guī)則。如果沒有指定鏈，則顯示指定表中的所有鏈。如果什么都沒有指定，就顯示默認表所有的鏈。精確輸出受其它參數影響，如-n 和-v等參數，下面會介紹。

　　Command-F, --flush  
 
　　Example iptables -F INPUT  
 

　　Explanation清空所選的鏈。如果沒有指定鏈，則清空指定表中的所有鏈。如果什么都沒有指定，就清空默認表所有的鏈。當然，也可以一條一條地刪，但用這個command會快些。

　　Command-Z, --zero  
 
　　Example iptables -Z INPUT  
 

　　Explanation把指定鏈(如未指定，則認為是所有鏈)的所有計數器歸零。

　　Command-N, --new-chain  
 
　　Example iptables -N allowed  
 

　　Explanation根據用戶指定的名字建立新的鏈。上面的例子建立了一個名為allowed的鏈。注意，所用的名字不能和已有的鏈、target同名。

　　Command-X, --delete-chain  
 
　　Example iptables -X allowed  
 

　　Explanation刪除指定的用戶自定義鏈。這個鏈必須沒有被引用，如果被引用，在刪除之前你必須刪除或者替換與之有關的規(guī)則。如果沒有給出參數，這條命令將會刪除默認表所有非內建的鏈。

　　Command-P, --policy  
 
　　Example iptables -P INPUT DROP  
 

　　Explanation為鏈設置默認的target(可用的是DROP 和ACCEPT，如果還有其它的可用，請告訴我)，這個target稱作策略。所有不符合規(guī)則的包都被強制使用這個策略。只有內建的鏈才可以使用規(guī)則。但內建的鏈和用戶自定義鏈都不能被作為策略使用，也就是說不能象這樣使用：iptables -P INPUT allowed(或者是內建的鏈)。

　　Command-E, --rename-chain  
 
　　Example iptables -E allowed disallowed  
 

　　Explanation對自定義的鏈進行重命名，原來的名字在前，新名字在后。如上，就是把allowed改為disallowed。這僅僅是改變鏈的名字，對整個表的結構、工作沒有任何影響。

　　在使用iptables時，如果必須的參數沒有輸入就按了回車，那么它就會給出一些提示信息：告訴你需要哪些參數等等。iptables的選項-v用來顯示iptables的版本，-h給出語法的簡短說明。。下面將要介紹的就是部分選項，還有它們的作用。

　　Table 6-3. Options

　　Option(選項)-v, --verbose(詳細的)

　　可用此選項的命令--list, --append, --insert, --delete, --replace

　　Explanation(說明)這個選項使輸出詳細化，常與--list 連用。與--list連用時，輸出中包括網絡接口的地址、規(guī)則的選項、TOS掩碼、字節(jié)和包計數器，其中計數器是以K、M、G(這里用的是10的冪而不是2的冪哦)為單位的。如果想知道到底有多少個包、多少字節(jié)，還要用到選項-x，下面會介紹。如果-v 和--append、--insert、--delete 或--replace連用，iptables會輸出詳細的信息告訴你規(guī)則是如何被解釋的、是否正確地插入等等。

　　Option-x, --exact(精確的)  
 
　　Commands used with--list  
 

　　Explanation使--list輸出中的計數器顯示準確的數值，而不用K、M、G等估值。注意此選項只能和--list連用。

　　Option-n, --numeric(數值)  
 
　　Commands used with--list  
 

　　Explanation使輸出中的IP地址和端口以數值的形式顯示，而不是默認的名字，比如主機名、網絡名、程序名等。注意此選項也只能和--list連用。

　　Option--line-numbers  
 
　　Commands used with--list  
 

　　Explanation又是一個只能和--list連用的選項，作用是顯示出每條規(guī)則在相應鏈中的序號。這樣你可以知道序號了，這對插入新規(guī)則很有用哦。

　　Option-c, --set-counters  
 
　　Commands used with--insert, --append, --replace  
 

　　Explanation在創(chuàng)建或更改規(guī)則時設置計數器，語法如下：--set-counters 20 4000，意思是讓內核把包計數器設為20，把字節(jié)計數器設為4000。

　　Option--modprobe  
 
　　Commands used withAll  
 

　　Explanation此選項告訴iptables常用命令探測并裝載要使用的模塊。這是非常有用的一個選項，萬一modprobe命令不在搜索路徑中，就要用到了。有了這個選項，在裝載模塊時，即使有一個需要用到的模塊沒裝載上，iptables也知道要去搜索。

【編輯推薦】

Linux下用iptables上網

使用Iptables進行并發(fā)連接限制

如何用IPtables限制網絡流量