【iptables】增加规则和删除规则

我们在另外一台机器上，使用ping命令，向当前机器发送报文，如下图所示，ping命令可以得到回应，证明ping命令发送的报文已经正常的发送到了防火墙所在的主机，ping命令所在机器IP地址为31.133（黑色），当前测试防火墙主机的IP地址为31.132（白色），我们就用这样的环境，对iptables进行操作演示。

3.1 增加规则

iptables -t 表名 -I/-A 链名 -s 源地址 -j 处理动作

-I选项，指明将”规则”插入至哪个链中，-I表示insert，即插入的意思，默认在第一行添加
-A选项，在指定链的末尾添加一条规则
-s选项，指明”匹配条件”中的”源地址”，即如果报文的源地址属于-s对应的地址，那么报文则满足匹配条件，-s为source之意，表示源地址。
-j选项，指明当”匹配条件”被满足时，所对应的动作，有ACCEPT、DROP等

那么此处，我们就在132上配置一条规则，拒绝192.168.31.133上的所有报文访问当前机器，之前一直在说，规则由匹配条件与动作组成，那么”拒绝192.168.31.

133上的所有报文访问当前机器”这条规则中，报文的”源地址为192.168.31.133″则属于匹配条件，如果报文来自"192.168.31.133″，则表示满足匹配条件，而”拒绝”这个报文，就属于对应的动作

此时我们可以再通过192.168.31.133去ping 192.168.21.132，看能否ping通

如上图所示，ping 132主机时，PING命令一直没有得到回应，看来我们的iptables规则已经生效了，ping发送的报文压根没有被132主机接受，而是被丢弃了，所以更不要说什么回应了

此时我们可以再次查看iptables中的规则，可以看到已经有186个包被对应的规则匹配到

拓展：规则的顺序问题

思考：

现在INPUT链中已经存在了一条规则，它拒绝了所有来自192.168.31.133主机中的报文，如果此时，我们在这条规则之后再配置一条规则，后面这条规则规定，接受所有来自192.168.31.133主机中的报文，那么，iptables是否会接受来自133主机的报文呢？

使用如下命令在filter表的INPUT中追加一条规则：

执行完添加规则的命令后，再次查看INPUT链，发现规则已经成功”追加”至INPUT链的末尾，那么现在，第一条规则指明了丢弃所有来自192.168.31.133的报文，第二条规则指明了接受所有来自192.168.31.133的报文，那么结果到底是怎样的呢？

在133主机上再次使用ping命令向133主机发送报文，发现仍然是ping不通的，看来第二条规则并没有生效。

而且从上图中第二条规则的计数器可以看到，根本没有任何报文被第二条规则匹配到。发生上述情况，会不会与规则的先后顺序有关呢？测试一下，我们再添加一条规则，新规则仍然规定接受所有来自192.168.31.133主机中的报文，只是这一次，我们将新规则添加至INPUT链的最前面试试。

使用如下命令，在filter表的INPUT链的前端添加新规则

在第一条规则就是接受所有来自192.168.31.133的报文，而且此时计数是0，此刻，我们再从133上向132发起ping请求。

133上已经可以正常的收到响应报文了，那么回到132查看INPUT链的规则，第一条规则的计数器已经显示出了匹配到的报文数量

看来顺序很重要，如果报文已经被前面的规则匹配到，iptables则会对报文执行对应的动作，即使后面的规则也能匹配到当前报文，很有可能也没有机会再对报文执行相应的动作了，就以上图为例，报文先被第一条规则匹配到了，于是当前报文被”放行”了，因为报文已经被放行了，所以，即使上图中的第二条规则即使能够匹配到刚才”放行”的报文，也没有机会再对刚才的报文进行丢弃操作了。这就是iptables的工作机制。

之前提过的--line-numbers选项，可以列出规则序号