iptables-用於IPv4 /IPv6包過濾和NAT的管理工具。
iptables [-t table] {-A
iptables-用於IPv4 /IPv6包過濾和NAT的管理工具。
iptables [-t table] {-A|-C|-D}鏈規則規範
Iptables和ip6tables是用於在Linux內核中設置、維護和檢查IPv4和IPv6包過濾規則的表。您可以定義幾個不同的表。每個表包含許多內置鏈,也可能包含用戶定義的鏈。
每個鏈包含可以匹配壹組數據包的規則列表。每個規則指定如何處理匹配的數據包,即目標。如下圖所示,表格中有五個鏈:前路由、輸入、後路由、輸出和DOCKER。其中,鏈式POSTROUTING有兩個匹配規則,它們的目標是偽裝和SNAT,即網絡地址轉換。鏈輸出只有壹個規則,它的目標是DOCKER,即把數據包交給鏈DOCKER做進壹步的匹配處理。
數據包將在鏈中依次匹配規則。如果不匹配,檢查下壹個。如果匹配,則根據目標執行下壹個操作。目標可能是其他鏈的名字(比如上面的DOCKER),那麽數據包就交給這個鏈進行規則匹配;Target也可以是其他特殊值之壹:ACCEPT、DROP或RETURN。
如果到達內置鏈的末端或者將內置鏈中的規則與目標回報匹配,鏈的策略將決定數據包的命運。鏈的策略體現在上圖中每個內置鏈名後面的括號裏。
目前有五個獨立的表(存在哪些表取決於內核配置選項和存在哪些模塊)。
-t,- table表
此選項指定該命令應該在哪個數據包匹配表中操作。如果內核配置了自動模塊加載,將嘗試加載表中的適當模塊(如果它還不存在)。
這三個表格包括:
iptables和ip6tables識別的選項可以分為幾個不同的類別:
這些選項指定了需要執行的操作。除非下面另有說明,否則在命令行上只能指定其中壹個。對於長版本的命令和選項名,您只需要使用足夠的字母來確保iptables可以將它們與所有其他選項區分開來。
以下參數構成了規則規範(規則規範用於添加、刪除、插入、替換和追加命令)。
您可以指定以下附加選項: