Linux平台上Iptables包過濾防火牆的實現

　　文法

　　1. 對鏈的操作

　　建立一個新鏈 (-N)。

　　刪除一個空鏈 (-X)。

　　改變一個內建鏈的原則 (-P)。

　　列出一個鏈中的規則 (-L)。

　　清除一個鏈中的所有規則 (-F)。

　　歸零(zero) 一個鏈中所有規則的封包位元組(byte) 記數器 (-Z)。

　　2. 對規則的操作

　　加入(append) 一個新規則到一個鏈 (-A)的最後。

　　在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。

　　在鏈內某個位置替換(replace) 一條規則 (-R)。

　　在鏈內某個位置刪除(delete) 一條規則 (-D)。

　　刪除(delete) 鏈內第一條規則 (-D)。

　　3. 指定源地址和目的地址

　　通過--source/--src/-s來指定源地址(這裡的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址：

　　a. 使用完整的網域名稱，如“www.linuxaid.com.cn”；

　　b. 使用ip地址，如“192.168.1.1”；

　　c. 用x.x.x.x/x.x.x.x指定一個網路地址，如“192.168.1.0/255.255.255.0”;

　　d.

　　用x.x.x.x/x指定一個網路地址，如“192.168.1.0/24”這裡的24表明了子網路遮罩的有效位元，這是

　　UNIX環境中通常使用的表示方法。

　　預設的子網路遮罩數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。

　　4. 指定協議

　　可以通過--protocol/-p選項來指定協議，比如-p tcp。

　　5. 指定網路介面將

　　可以使用--in-interface/-i或--out-interface/-o來指定網路介面。需要注意的是，對於INPUT鏈來說，只可能有-i，也即只會有進入的包；通理，對於OUTPUT鏈來說，只可能有-o，也即只會有出去的包。只有FORWARD鏈既可以有-i的網路介面，也可以有-o的網路介面。我們也可以指定一個當前並不存在的網路介面，比如ppp0，這時只有撥號成功後該規則才有效。