iptables [-t table] command chain [cretiria] -j action

-t

  raw

  mangle

  nat

  filter(默认)

command：对链，或者对链中的规则进行管理操作

command（命令）：

 -A

  -I n

  -R n

  -D n

链：

  -N #新建自定义链条

  -X #删除一个自定义空链

  -E #重命名一条自定义链

  -F #清空指定链，如果不指定，则清空整个表中的所有链

  -P #设定链的默认策略

  -Z #置零 （被规则匹配的数据包个数和被规则匹配的数据包总大小）

查看：

  -L：查看

    -v #详细信息

    -vv #更详细

    -vvvv #更更详细

    --line-numbers #显式规则行号

    -x #计数器的精确值

    -n #数字方式显式

chain（匹配条件）：

通用匹配

  -s #原地址

  -d #目标地址

    ip

    network/mask

    ! #取反

  -p [icmp|tcp|udp] #协议

扩展匹配

  隐式扩展

    -p tcp

      --sport port[-port2]

      --dport port[-port2]

      --tcp-flags SYN,ACK,RST,FIN SYN

      --syn

    -p udp

      --sport port

      --dport port

    -p icmp

      --icmp-type

        0:echo-reply

        8:echo-request

事例（拒绝被ping）：

iptales -t filter -A INPUT -s 172.16.0.0/16 -p icmp --icmp --icmp-type  8 -j DROP

事例（拒绝ping别人回显）：

iptales -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p icmp --icmp --icmp-type  0 -j DROP

  -i #in interface

  -o #out interface

  显式扩展