Linux防火墙规则的查看、添加、删除和修改Linux防火墙规则的查看、添加、删除和修改1、查看iptables-nvL–line-number-L查看当前表的所有规则，默认查看的是filter表，如果要查看NAT表，可以加上-tNAT参数。-n不对ip地址进行反查，加上这个参数显示速度会快很多。-v输出详细信息，包含通过该规则的数据包数量，总字节数及相应的网络接口。–line-number显示规则的序列号，这个参数在删除或修改规则时会用到。2、添加添加规则有两个参数：-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置，没有指定位置的话默认插入到规则的首部。当前规则：[root@test~]#iptables-nL--line-numberChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1DROPall--192.168.1.10.0.0.0/02DROPall--192.168.1.20.0.0.0/03DROPall--192.168.1.40.0.0.0/0添加一条规则到尾部：[root@test~]#iptables-AINPUT-s192.168.1.5-jDROP再插入一条规则到第三行，将行数直接写到规则链的后面：[root@test~]#iptables-IINPUT3-s192.168.1.3-jDROP查看：[root@test~]#iptables-nL--line-numberChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1DROPall--192.168.1.10.0.0.0/02DROPall--192.168.1.20.0.0.0/03DROPall--192.168.1.30.0.0.0/04DROPall--192.168.1.40.0.0.0/05DROPall--192.168.1.50.0.0.0/0可以看到192.168.1.3插入到第三行，而原来的第三行192.168.1.4变成了第四行。3、删除删除用-D参数删除之前添加的规则iptables-AINPUT-s192.168.1.5-jDROP：[root@test~]#iptables-DINPUT-s192.168.1.5-jDROP有时候要删除的规则太长，删除时要写一大串，既浪费时间又容易写错，这时我们可以先使用--line-number找出该条规则的行号，再通过行号删除规则。[root@test~]#iptables-nv--line-numberiptablesv1.4.7:nocommandspecifiedTry`iptables-h'or'iptables--help'formoreinformation.[root@test~]#iptables-nL--line-numberChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1DROPall--192.168.1.10.0.0.0/02DROPall--192.168.1.20.0.0.0/03DROPall--192.168.1.30.0.0.0/0删除第二行规则[root@test~]#iptables-DINPUT24、修改修改使用-R参数先看下当前规则：[root@test~]#iptables-nL--line-numberChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1DROPall--192.168.1.10.0.0.0/02DROPall--192.168.1.20.0.0.0/03DROPall--192.168.1.50.0.0.0/0将第三条规则改为ACCEPT：[root@test~]#iptables-RINPUT3-jACCEPT再查看下：[root@test~]#iptables-nL--line-numberChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1DROPall--192.168.1.10.0.0.0/02DROPall--192.168.1.20.0.0.0/03ACCEPTall--0.0.0.0/00.0.0.0/0第三条规则的target已改为ACCEPT。