iptables 命令的輸入方式取決于你想要實現(xiàn)的功能。沒有一個通用的“正確”命令，因為 iptables 的功能非常強大且靈活，其配置取決于你的網(wǎng)絡(luò)安全需求。 理解其基本結(jié)構(gòu)和常用選項是關(guān)鍵。

iptables 命令的基本結(jié)構(gòu)是 iptables [選項] 表 鏈 規(guī)則。讓我們逐個部分來看：

• iptables: 這是命令本身。
• [選項]: 這部分包含各種控制命令行為的選項，例如 -A (追加規(guī)則)、-I (插入規(guī)則)、-D (刪除規(guī)則)、-L (列出規(guī)則)、-F (清空規(guī)則)、-P (設(shè)置默認策略) 等。 我曾經(jīng)因為忘記使用 -I 選項而導(dǎo)致新規(guī)則被添加到鏈的末尾，造成預(yù)期外的結(jié)果，浪費了大量時間排查。 記住，規(guī)則的順序至關(guān)重要，因為 iptables 是按順序匹配規(guī)則的。
• 表: iptables 有三個內(nèi)置表：filter (過濾數(shù)據(jù)包，最常用)、nat (網(wǎng)絡(luò)地址轉(zhuǎn)換)、mangle (修改數(shù)據(jù)包)。 我早期主要只使用 filter 表，后來才發(fā)現(xiàn) nat 表在實現(xiàn)端口轉(zhuǎn)發(fā)等功能時非常有用。 選擇正確的表是成功配置的關(guān)鍵。
• 鏈: 每個表都包含多個鏈，用于處理不同類型的網(wǎng)絡(luò)流量。 filter 表常用的鏈包括 INPUT (進入本機的數(shù)據(jù)包)、OUTPUT (離開本機的包)、FORWARD (轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)的包)。 例如，要阻止來自特定 IP 地址的連接，你需要在 INPUT 鏈中添加規(guī)則。
• 規(guī)則: 這是規(guī)則的核心，它指定了匹配條件和要采取的動作。 匹配條件可以是源 IP 地址、目標 IP 地址、端口號、協(xié)議等等。 動作可以是 ACCEPT (接受數(shù)據(jù)包)、DROP (丟棄數(shù)據(jù)包)、REJECT (拒絕數(shù)據(jù)包并發(fā)送 ICMP 錯誤消息) 等。

舉個例子，要阻止所有來自 192.168.1.100 的 SSH 連接 (端口 22)，你可以使用以下命令：

iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j DROP

登錄后復(fù)制

這個命令會在 INPUT 鏈中追加 ( -A ) 一條規(guī)則，匹配協(xié)議為 TCP ( -p tcp )，目標端口為 22 ( –dport 22 )，源 IP 地址為 192.168.1.100 ( -s 192.168.1.100 ) 的數(shù)據(jù)包，并將其丟棄 ( -j DROP )。

記住在修改 iptables 規(guī)則后，最好使用 iptables -L -n -v 命令來驗證你的規(guī)則是否生效，并仔細檢查每個參數(shù)的含義。 我曾經(jīng)因為一個小小的拼寫錯誤導(dǎo)致規(guī)則失效，所以務(wù)必仔細檢查命令的正確性。 此外，在進行任何重大更改之前，強烈建議備份當前的 iptables 規(guī)則，以便在出現(xiàn)問題時能夠恢復(fù)。 這能節(jié)省你很多不必要的麻煩。 熟練掌握這些細節(jié)，才能有效利用 iptables 來保護你的網(wǎng)絡(luò)安全。

路由網(wǎng)(www.lu-you.com)您可以查閱其它相關(guān)文章！