iptables命令大家都經常用到，但本文要講的是iptables命令的結構，對學習和記憶iptables命令非常有幫助！

命令行本節列出了iptables命令行的組成部分(跟在實用工具名iptables后面的內容)。除了明確標示出來的部分之外，實用工具 iptables對命令行參數的位置并沒有特殊的要求。本章中的示例反映的是一種普遍接受的語法，它可以讓命令行更加易于閱讀、理解和維護。不是所有命令 都包括全部的組成部分。

iptables命令行中的很多符號都有兩種形式：短格式(單個字母，前面還有一個連字符)和長格式(一個單詞，前面有兩個連字符)。為了簡潔起 見，大多數腳本使用短格式，而使用長格式的命令行顯得有些笨重。下面的兩條iptables命令行是一樣的效果，本節將它們作為示例：

表指定命令所操作的表的名稱：Filter、NAT還是Mangle。可以在任何iptables命令中指定表名。如果不指定表名，那么該命令操作 的就是Filter表。本章的大多數示例不指定表名，因此它們操作的是Filter表。用-ttablename或--tabletablename來指 定表。

命令用來說明命令行剩余部分的作用，比如添加或刪除規則、顯示規則或添加規則鏈。這個示例中的命令(-A和--append)將命令行指定的規則添加到指定的表和規則鏈中。15.7.1節列出了所有命令。

規則鏈指定規則所屬的規則鏈或命令操作的規則鏈的名稱。規則鏈有INPUT、OUTPUT、FORWARD、PREROUTING、 POSTROUTING，或者由用戶定義的規則鏈。在指定規則鏈時，直接將規則鏈的名字放進命令行，不需要在前面放置任何連字符。本節開頭的示例操作的是 FORWARD規則鏈。

匹配條件 有兩種匹配條件：分組匹配條件(匹配網絡分組)和規則匹配條件(匹配已有規則)。

分組匹配條件/規則定義分組匹配條件用來識別網絡分組，并實現規則，對匹配條件的分組采取相應的行動。分組匹配條件和動作的組合被稱為規則定義。規 則定義構成了分組過濾的基礎。本節開頭的第一個示例使用的規則匹配條件是--in-interfaceeth1--out-interface eth0。第二個示例使用的是同一個條件，但用的是短格式：-i eth1-oeth0。這兩條規則都用來轉發設備eth1上接收到的分組，并將其通過設備eth0發送到網絡。

規則匹配條件規則匹配條件識別已有的規則。iptables命令能夠修改、刪除或將一條新規則放置到與規則匹配條件指定的規則相鄰的地方。有兩種方 法可以指定某條已有規則：可以使用與曾經用來建立規則相同的規則定義，也可以使用規則的序號(被稱為規則編號)。規則編號從1開始，它表示的是規則鏈中的 第一條規則，可在iptables-L(或者--line-numbers)的結果中顯示。下面的第一條命令將本節開頭所列的規則刪除。第二條命令將 INPUT規則鏈中編號為3的規則替換成另一條規則，將所有來自IP地址192.168.0.10的分組拒絕：

跳轉或目標用來指定內核對分組(它們匹配規則的所有匹配條件)所采取的動作。指定跳轉或目標的方式為-jtarget或者--jumptarget。本節開頭的示例使用命令--jump ACCEPT和-jACCEPT，來指定目標ACCEPT。

跳轉跳轉將控制轉移到同一個表中的不同規則鏈。下面的命令將一條規則添加(--append)到INPUT鏈，將使用TCP協議(--protocoltcp)的分組傳遞給用戶定義鏈tcp_rules(--jumptcp_rules)：

當分組經過tcp_rules鏈的處理之后(假設還沒有被丟棄或拒絕)，它將從剛跳轉的那條規則之后的規則繼續經過INPUT鏈處理。

目標目標指定內核對分組所采取的動作，最簡單的動作是ACCEPT、DROP和REJECT，下面的命令向FORWARD鏈中添加一條規則，將來自 FTP端口(/etc/services--iptables根據這個文件來確定使用哪個端口--顯示FTP使用的端口是23)的分組拒絕：

有些目標(比如LOG)并不是最終的目標：在執行該目標之后，將控制傳遞給下一條規則。