其中， iptables command chain rule-specification 参数的含义分别为：

• -t table指定要操作的数据表，iptables 默认操作的数据表是 filter，还Neng是 natmangle 和 raw。nat 用于地址转换，mangle 用于修改数据包，raw 用于高大级功Neng。

  

• command指定要对规则链进行的操作，常见的命令有：

  • A在指定的规则链末尾添加一条规则。
  • D从指定的规则链中删除一条规则。
  • I在指定的规则链中的某个位置插入一条规则。
  • R替换指定的规则链中的某条规则。
  • C修改指定的规则链中的某条规则。

• chain指定要操作的目标链， 如 INPUTOUTPUTFORWARD 或自定义链。

• rule-specification指定规则的具体内容，包括匹配条件和目标动作。比方说：

  • -p tcp指定协议类型为 TCP。
  • --dport 22指定目标端口为 22。
  • -s 192.168.1.0/24指定源地址为 192.168.1.0/24 网络中的随便哪个主机。
  • -j ACCEPT 或 -j DROP指定目标动作是收下还是丢弃数据包。

• match-extension指定 匹配， 用于许多些额外的匹配条件，如 -m state --state NEW 表示匹配新鲜建立的网络连接。

• target-extension指定目标 ， 指定数据包的处理方式，如 -j SNAT --to-source 192.168.1.1 表示对数据包进行源地址转换。

通过组合这些个参数，Neng构建麻烦的规则来控制网络流量。