3、规则管理：

-A：append，追加

-I：insert, 插入，要指明插入至的规则编号，默认为第一条

-D：delete，删除

(1) 指明规则序号

(2) 指明规则本身

-R：replace，替换指定链上的指定规则编号

-F：flush，清空指定的规则链

-Z：zero，置零

iptables的每条规则都有两个计数器

(1) 匹配到的报文的个数

(2) 匹配到的所有报文的大小之和

(3)扩展匹配条件

扩展匹配条件：需要加载扩展模块（/usr/lib64/xtables/*.so），方可生效

查看帮助 man iptables-extensions

扩展匹配分为隐性扩展和显性扩展两种

隐性扩展：不需要写模块名称

如：iptables -A INPUT -s 192.168.30.6 -p tcp –dport 139 -j REJECT

显性扩展：必须指定模块名称

如：iptables -A INPUT -p tcp -m multiport –dports 21,80,445 -j REJECT

(4)处理动作：

-j targetname per-target-options

简单： ACCEPT，DROP

扩展： REJECT：–reject-with:icmp-port-unreachable默认

RETURN：返回调用链

REDIRECT：端口重定向

LOG：记录日志，dmesg

MARK：做防火墙标记

DNAT：目标地址转换

SNAT：源地址转换

MASQUERADE：地址伪装

…

自定义链：