linux 设置iptables规则时，若未指定表明，默认对应的是哪个规则表

1、用iptables命令直接查看 [root@test ~]# iptables -nv -L#-L是--list的简写，作用是列出规则 2、直接查看iptables的配置文档 [root@test ~]# more /etc/sysconfig/iptables

iptables - 用于 IPv4 /IPv6数据包过滤和 NAT 的管理工具

iptables [-t table] {-A|-C|-D} chain rule-specification

iptables 和 ip6tables 用于在 Linux 内核中设置、维护和检查 IPv4 和 IPv6 包过滤规则的表。 可以定义几个不同的表。 每个表包含许多内置链，也可能包含用户定义的链。

每个链都包含了一个规则列表，可以匹配一组数据包。 每个规则都指定如何去处理匹配的数据包，即 Target ,如下图所示，表中有五个链：PREROUTING，INPUT，POSTROUTING，OUTPUT和DOCKER，其中链POSTROUTING拥有两个匹配规则，他们的Target分别是MASQUERADE和SNAT，即进行网络地址转换，链OUTPUT只有一条规则，其target是DOCKER，即数据包要交给链DOCKER进行进一步匹配处理。

数据包将在链上依次匹配规则，若不匹配，则检查下一条，若匹配，则根据target，执行下一步 *** 作。target的至可能是其他链的名字(如上面的DOCKER)，则此时将数据包交给此链进行规则匹配；target还可能是其他特殊值：ACCEPT、DROP或 RETURN 之一。

如果到达内置链的末端或匹配带有目标 RETURN 的内置链中的规则，则链的策略将决定数据包的命运。链的策略在上图中，每个内置链名称后的括号中体现。

目前有五个独立的表（存在哪些表取决于内核配置选项和存在哪些模块）。

-t, --table table

此选项指定命令应 *** 作那个数据包匹配表。 如果内核配置了自动模块加载，则将尝试加载该表的适当模块（如果该模块尚不存在）。

三个表包括：

iptables 和 ip6tables 识别的Options可以分为几个不同的类别：

这些选项指定要执行的所需 *** 作。 除非下面另有说明，否则只能在命令行上指定其中之一。 对于长版本的命令和选项名称，您只需要使用足够多的字母以确保 iptables 可以将其与所有其他选项区分开来。

以下参数构成规则规范（ rule-specification 在添加、删除、插入、替换和追加命令中使用）。

可以指定以下附加选项：

udev的规则文件以行为单位，以“#”开头的行代表注释行。其余的每一行代表一个规则。每个规则分

成一个或多个匹配部分和赋值部分。匹配部分用匹配专用的关键字来表示，相应的赋值部分用赋值专用的

关键字来表示。匹配关键字包括：ACTION（行为）、KERNEL（匹配内核设备名）、BUS（匹配总线类

型）、SUBSYSTEM（匹配子系统名）、ATTR（属性）等，赋值关键字包括：NAME（创建的设备文件

名）、SYMLINK（符号创建链接名）、OWNER（设置设备的所有者）、GROUP（设置设备的组）、

IMPORT（调用外部程序）、MODE（节点访问权限）等。

例如，如下规则：

SUBSYSTEM=="net"

, ACTION=="add"

, DRIVERS==" *"

, ATTR{address}=="08:00:27:35:be:ff"

,

ATTR{dev_id}=="0x0"

, ATTR{type}=="1"

, KERNEL=="eth*"

, NAME="eth1"

其中的“匹配”部分包括SUBSYSTEM、ACTION、ATTR、KERNEL等，而“赋值”部分有一项，是

NAME。这个规则的意思是：当系统中出现的新硬件属于net子系统范畴，系统对该硬件采取的动作

是“add”这个硬件，且这个硬件的“address”属性信息等于“08：00：27：35：be：ff”

，

“dev_id”属性等

于“0x0”

、

“type”属性为1等，此时，对这个硬件在udev层次施行的动作是创建/dev/eth1。

通过一个简单的例子可以看出udev和devfs在命名方面的差异。如果系统中有两个USB打印机，一个可

能被称为/dev/usb/lp0，另外一个便是/dev/usb/lp1。但是到底哪个文件对应哪个打印机是无法确定的，

lp0、lp1和实际的设备没有一一对应的关系，映射关系会因设备发现的顺序、打印机本身关闭等而不确

定。因此，理想的方式是两个打印机应该采用基于它们的序列号或者其他标识信息的办法来进行确定的映

射，devfs无法做到这一点，udev却可以做到。使用如下规则：

SUBSYSTEM="usb"

,ATTR{serial}="HXOLL0012202323480"

,NAME="lp_epson"

,SYMLINK+="printers/

epson_stylus"

该规则中的匹配项目有SUBSYSTEM和ATTR，赋值项目为NAME和SYMLINK，它意味着当一台USB

打印机的序列号为“HXOLL0012202323480”时，创建/dev/lp_epson文件，并同时创建一个符号链

接/dev/printers/epson_styles。序列号为“HXOLL0012202323480”的USB打印机不管何时被插入，对应的设

备名都是/dev/lp_epson，而devfs显然无法实现设备的这种固定命名。

udev规则的写法非常灵活，在匹配部分，可以通过“*”

、

“？”

、[a~c]、[1~9]等shell通配符来灵活匹配

多个项目。

*类似于shell中的*通配符，代替任意长度的任意字符串，？代替一个字符。此外，%k就是

KERNEL，%n则是设备的KERNEL序号（如存储设备的分区号）。

---