iptables-用於IPv4 /IPv6包過濾和NAT的管理工具。
iptables【-t表】{-A
iptables-用於IPv4 /IPv6包過濾和NAT的管理工具。
iptables【-t表】{-A|-C|-D}鏈規則規範
Iptables和ip6tables是用於在Linux內核中設置、維護和檢查IPv4和IPv6包過濾規則的表。您可以定義幾個不同的表。每個表包含許多內置鏈,也可能包含用戶定義的鏈。
每個鏈都包含可以匹配壹組數據包的規則列表。每個規則指定如何處理匹配的數據包,即目標。如下圖所示,表中有五個鏈:預路由、輸入、後路由、輸出和DOCKER。其中,鏈式郵政路由有兩個匹配規則,它們的目標是假面和SNAT,即網絡地址轉換。鏈輸出只有壹個規則,它的目標是DOCKER,即數據包被交給鏈DOCKER進行進壹步的匹配處理。
數據包將依次與鏈中的規則匹配。如果它們不匹配,請檢查下壹個。如果匹配,則根據目標執行下壹個操作。目標可能是其他鏈的名稱(例如上面的DOCKER),然後將數據包交給此鏈進行規則匹配;Target也可以是其他特殊值之壹:ACCEPT、DROP或RETURN。
如果您到達內置鏈的末端或使內置鏈中的規則與目標回報相匹配,則鏈的策略將決定數據包的命運。鏈的策略反映在上圖中每個內置鏈名稱後面的括號中。
目前有五個獨立的表(存在哪些表取決於內核配置選項和存在哪些模塊)。
-t,- table表格
此選項指定該命令應在哪個數據包匹配表上操作。如果內核配置了自動模塊加載,將嘗試加載表中的適當模塊(如果它尚不存在)。
這三個表格包括:
iptables和ip6tables識別的選項可以分為幾個不同的類別:
這些選項指定了需要執行的操作。除非下面另有說明,否則在命令行上只能指定其中壹個。對於長版本的命令和選項名稱,您只需要使用足夠的字母來確保iptables可以將它們與所有其他選項區分開來。
以下參數構成規則規範(規則規範用於添加、刪除、插入、替換和追加命令中)。
您可以指定以下附加選項: