使用iptables建置Linux 防火墙(6)

　　mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则炼。

　　除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以便进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。

　　filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则炼，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。

　　常用命令列表：

　　命令 -A, --append

　　范例 iptables -A INPUT ...

　　说明 新增规则到某个规则炼中，该规则将会成为规则炼中的最后一条规则。

　　命令 -D, --delete

　　范例 iptables -D INPUT --dport 80 -j DROP

　　iptables -D INPUT 1

　　说明 从某个规则炼中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。

　　命令 -R, --replace

　　范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP

　　说明 取代现行规则，规则被取代后并不会改变顺序。

　　命令 -I, --insert

　　范例 iptables -I INPUT 1 --dport 80 -j ACCEPT

　　说明 插入一条规则，原本该位置上的规则将会往后移动一个顺位。

　　命令 -L, --list

　　范例 iptables -L INPUT

　　说明 列出某规则炼中的所有规则。

　　命令 -F, --flush

　　范例 iptables -F INPUT

　　说明 删除某规则炼中的所有规则。

　　命令 -Z, --zero

　　范例 iptables -Z INPUT

　　说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。

　　命令 -N, --new-chain

　　范例 iptables -N allowed

　　说明 定义新的规则炼。

　　命令 -X, --delete-chain

　　范例 iptables -X allowed

　　说明 删除某个规则炼。

　　命令 -P, --policy

　　范例 iptables -P INPUT DROP

　　说明 定义过滤政策。 也就是未符合过滤条件之封包，预设的处理方式。

　　命令 -E, --rename-chain

　　范例 iptables -E allowed disallowed

　　说明 修改某自订规则炼的名称。

　　常用封包比对参数：

　　参数 -p, --protocol

　　范例 iptables -A INPUT -p tcp

　　说明 比对通讯协议类型是否相符，可以使用 ! 运算子进行反向比对，例如：-p ! tcp ，意思是指除 tcp 以外的其它类型，包含 udp、icmp ...等。如果要比对所有类型，则可以使用 all 关键词，例如：-p all。

　　参数 -s, --src, --source

　　范例 iptables -A INPUT -s 192.168.1.1