iptables添加规则立即生效

iptables是Linux系统中一个非常强大的防火墙工具，它可以用来控制网络数据包的进出，本文将介绍如何使用iptables添加规则，以便更好地保护您的网络环境。

我们需要了解iptables的基本结构，iptables由几个表组成，分别是 filter、nat、mangle和raw，filter表用于过滤数据包，nat表用于网络地址转换，mangle表用于修改数据包，raw表用于执行原始操作，在本文中，我们主要关注filter表，因为它主要用于防火墙功能。

要使用iptables添加规则，首先需要以root用户身份登录到系统，可以使用以下命令查看当前的iptables规则：

sudo iptables -L

接下来，我们将介绍如何添加规则，添加规则的基本语法如下：

sudo iptables -A [表名] [链名] [规则选项] [源IP地址] [目标IP地址] [端口号]

[表名]、[链名]、[规则选项]、[源IP地址]、[目标IP地址]和[端口号]都是需要根据实际情况进行设置的参数，下面我们将详细解释这些参数的作用：

1. [表名]:指定要操作的iptables表，如filter、nat等。

2. [链名]:指定要操作的链，如INPUT、OUTPUT等，默认情况下，每个表都有一个名为INPUT的链和一个名为OUTPUT的链。

3. [规则选项]:指定要应用的规则类型，如ACCEPT(接受)、DROP(丢弃)等，还可以指定其他选项，如-s(源IP地址)、-d(目标IP地址)、-p(协议)等。

4. [源IP地址]:指定数据包的来源IP地址，如果不指定，则表示任意来源IP地址。

5. [目标IP地址]:指定数据包的目标IP地址，如果不指定，则表示任意目标IP地址。

6. [端口号]:指定数据包的目标端口号，如果不指定，则表示任意端口号。

下面举个例子，假设我们想要允许来自192.168.1.100的主机访问本机的HTTP服务(端口号为80),并拒绝其他所有访问请求，可以使用以下命令：

sudo iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -j DROP

我们首先允许来自192.168.1.100的主机访问本机的HTTP服务，然后拒绝其他所有访问请求。

为了方便后续管理，我们可以将当前的iptables规则保存到文件中，并在系统启动时自动加载，具体操作如下：

1. 将当前的iptables规则保存到文件：

sudo sh -c 'iptables-save > /etc/sysconfig/iptables'

2. 在系统启动时自动加载iptables规则：

sudo sh -c 'echo "*filter" >> /etc/sysconfig/network'
sudo sh -c 'echo "networktinputtoptionaltpre-uptiptables-restore < /etc/sysconfig/iptables" >> /etc/sysconfig/network'

我们已经学会了如何使用iptables添加规则，希望本文能对您有所帮助，如果您还有其他问题，欢迎随时提问。