iptables命令参数

iptables ：

   -N（--new-cahin  <chain>）：创建一个用户自定义规则链

  -F（--flush）：清空所选规则链，如果没有定义指定参数，所有非内建规则链都被清空

-X（--delete-chain）：删除指定的用户自定义的规则链，若没有给出参数，命令将删除每一个非内建的规则链

-P（--policy）：为内建的规则链input、output、和forward定义默认策略，策略可以为ACCEPT或DROP

-L（--list）：列出所选规则链的所有规则，若没有指定规则链，所有规则链将被列出

-Z（--zero）：重设与每个规则链有关的包和字节计数据

-h：列出iptables命令和选项

--modprobe=<command>：当添加或插入一条规则链时，用<command>装载必须的模块

-E（--rename-chain）：重新命名规则链<old chain>为<new chain>

-L -n：以数值而不是名字的形式列出ip地址和端口号

-L -v ：列出每条规则额外的信息，例如字节和包计数器，规则选项和相关的网络接口

-L -x ：列出计数器的精确值，不是估值

-L --line-numbers ：列出规则在规则链中的位置

 

-A：添加一条规则到规则链的末尾

-I：插入一条规则到规则链的头部

-R：替换规则链的一条规则

-D：删除规则链中指定位置的规则

-i：对input、forward和其他用户自定义的子规则链中的入站包，指定规则将应用的接口名称，如果没有指定接口，则包括所有接口

-o：对output、forward和其他用户自定义的子规则链中的出站包，指定规则将应用的接口名称，如果没有指定接口，则包括所有接口。

-p：指定规则链将使用的ip协议，内建的协议有tcp、udp、icmp和其他协议，协议值可以是协议的名称，也可以是/etc/protocals中列出的数值

-s：指定ip头部中的主机或网络源地址

-d：指定ip头部中的主机或网络目的地址。

-j：如果包匹配规则，为这个包定义策略部署，默认的策略包括内建策略，扩展策略和用户自定义规则链

[!]：定义在分片的包中，规则只询问第二片以后的片，否则指定包不分片。

-c  ：初始化包和字节计数器。

 

--source -port | --sport   ：指定源端口

--destination  -port  | --dport     ：指定目的端口

--tcp -flags    ：对屏蔽列表位进行测试，其中下位必须设置为1，才能实现匹配

[!] -syn ：作为连接请求，syn位必须设置为1.

--tcp  -option：tcp唯一的合法选项是发送方所能够接受的数据包的最大值

--icmp -type ：指定icmp类型名或类型号，icmp类型用来代替源端口号

 

-j LOG选项：

--log -level：日志等级可以是数值型或符号化的日志优先级，他们被列举在/usr/include/sys/syslog.h中，/etc/syslog.conf中也有相同的日志等级：emerge（0），alert（1），crit（2），err（3），warn（4），notice（5），info（6），和debug（7）

--log-prefix：前缀是一个引用字符串，字符串会被加在规则的日志信息的前面。

--log -ip-options ：该指令记录任意的ip头部选项

--log -tcp-sequence：记录tcp包的序列号

--log -tcp-option：记录任意的tcp头部选项