本文只是记录常用的命令行规则，如果想了解和学习 iptables，请移步《IPtables》

每一条匹配规则都可以使用 ! 进行取反。如 ! --dport 22 表示所有目标端口不为 22 的请求

下表为链和表的对应关系

Chain	Table
PREROUTING	raw表，mangle表，nat表
INPUT	mangle表，filter表，nat表
FORWARD	mangle表，filter表
OUTPUT	raw表，mangle表，nat表，filter表
POSTROUTING	mangle表，nat表

默认规则

名称	作用
-s	匹配源 IP。书写形式可以是 ip ip,ip,ip 10.0.0.0/8
-d	匹配目标 IP。用法和 -s 一致
-p	匹配协议。-p tcp 。具体支持哪些协议，可以查看 /etc/protocols。默认为 all
-i	匹配流入网卡
-o	匹配流出网卡

拓展规则

使用拓展规则，必须要加载对应的模块。因此，使用拓展模块时要配合 -m <module_name> 使用。-m 的默认值为 -p <protocol> 指定的值。

实际使用时，一条命令可以多次使用 -m 来实现复杂的匹配规则

还可以支持其他模块，这里仅列举了一部分。

tcp

名称	作用	前置条件
--dport	匹配目标端口。--dport <port> --dport <startport>-<endport>	与 -p <protocol> 一起使用
--sport	匹配源端口。--sport <port> --sport <startport>-<endport>	与 -p <protocol> 一起使用

iprange

指定连续的 ip 地址

名称	作用
--src-range	--src-range 192.168.2.2-192.168.2.10
--dst-range	用法相同

multiport

名称	作用
--sports	匹配目标端口。--sports port --sports port,port,port
--dports	匹配源端口。--dports port --dports port,port,port

time

名称	作用
--timestart	匹配开始时间。--timestart 08:00
--timestop	匹配结束时间。--timestop 18:00
--days	--days Mon,Tue,Wed,Thu,Fri
--weekdays	--weekdays 4,5,6
--monthdays	--monthdays 10,15,25

comment

设置注释 --comment "Allow SSH"