iptables :
-N(--new-cahin <chain>):创建一个用户自定义规则链
-F(--flush):清空所选规则链,如果没有定义指定参数,所有非内建规则链都被清空
-X(--delete-chain):删除指定的用户自定义的规则链,若没有给出参数,命令将删除每一个非内建的规则链
-P(--policy):为内建的规则链input、output、和forward定义默认策略,策略可以为ACCEPT或DROP
-L(--list):列出所选规则链的所有规则,若没有指定规则链,所有规则链将被列出
-Z(--zero):重设与每个规则链有关的包和字节计数据
-h:列出iptables命令和选项
--modprobe=<command>:当添加或插入一条规则链时,用<command>装载必须的模块
-E(--rename-chain):重新命名规则链<old chain>为<new chain>
-L -n:以数值而不是名字的形式列出ip地址和端口号
-L -v :列出每条规则额外的信息,例如字节和包计数器,规则选项和相关的网络接口
-L -x :列出计数器的精确值,不是估值
-L --line-numbers :列出规则在规则链中的位置
-A:添加一条规则到规则链的末尾
-I:插入一条规则到规则链的头部
-R:替换规则链的一条规则
-D:删除规则链中指定位置的规则
-i:对input、forward和其他用户自定义的子规则链中的入站包,指定规则将应用的接口名称,如果没有指定接口,则包括所有接口
-o:对output、forward和其他用户自定义的子规则链中的出站包,指定规则将应用的接口名称,如果没有指定接口,则包括所有接口。
-p:指定规则链将使用的ip协议,内建的协议有tcp、udp、icmp和其他协议,协议值可以是协议的名称,也可以是/etc/protocals中列出的数值
-s:指定ip头部中的主机或网络源地址
-d:指定ip头部中的主机或网络目的地址。
-j:如果包匹配规则,为这个包定义策略部署,默认的策略包括内建策略,扩展策略和用户自定义规则链
[!]:定义在分片的包中,规则只询问第二片以后的片,否则指定包不分片。
-c :初始化包和字节计数器。
--source -port | --sport :指定源端口
--destination -port | --dport :指定目的端口
--tcp -flags :对屏蔽列表位进行测试,其中下位必须设置为1,才能实现匹配
[!] -syn :作为连接请求,syn位必须设置为1.
--tcp -option:tcp唯一的合法选项是发送方所能够接受的数据包的最大值
--icmp -type :指定icmp类型名或类型号,icmp类型用来代替源端口号
-j LOG选项:
--log -level:日志等级可以是数值型或符号化的日志优先级,他们被列举在/usr/include/sys/syslog.h中,/etc/syslog.conf中也有相同的日志等级:emerge(0),alert(1),crit(2),err(3),warn(4),notice(5),info(6),和debug(7)
--log-prefix:前缀是一个引用字符串,字符串会被加在规则的日志信息的前面。
--log -ip-options :该指令记录任意的ip头部选项
--log -tcp-sequence:记录tcp包的序列号
--log -tcp-option:记录任意的tcp头部选项