问如何以编程方式访问iptables？

EN

所以它看起来没有任何方法，并且已经被Netfilter小组确认了。

请参阅SO问题，How can I programmatically manage iptables rules on the fly?

您可以与名为libiptc.的iptables库进行交互

这就是我如何创建到iptables的Perl接口：CPAN IPTables::libiptc

但是libiptc库只为您提供了一个基本链结构的应用编程接口。访问和解析各个规则要复杂一些，因为它依赖于dyn-loading各个目标/匹配模块的共享库。

在我的CPAN module中，我的方法是从iptables.c链接到do_command()，以进行规则更改。

你需要知道的另一件事是：

单个iptables调用执行以下操作：

libiptc将整个规则集从内核复制到userspace

• Parse，然后进行一次或多次更改(通常只需通过iptables将其更改为内核

• 格式，通过libiptc

• 将整个(新)规则集从用户空间复制到内核。

因此，如果您每次只做一次更改，那么这将是一个繁重的过程。但您也可以利用这一点，一次执行许多更改，并让这些更改显示为内核的单个原子更改。

正如我在ltrace-ing iptables -L的评论中所说的那样，我发现我的Debian/Sid上有一个包含libipq和相关库的iptables-dev包。您可能想要使用它。