iptables的一些配置

 iptables
        -t #  指定表名称
        -n #不做解析
        -L # 列出指定表中的策略
        -A #添加策略
        -P #网络协议
        --aport ##端口
        -s   ##数据来源
        -j   #动作
        ACCEPT #允许
        REJECT  ##拒绝
        DROP  ##丢弃
        -N  ##增加链
        -E  ##修改链名称
        -X ##删除链
        -D ##删除指定策略
        -I ##插入
        -R #修改策略
        -P ##修改默认策略

一些测试：

iptables -F  #刷掉filter表中的所以策略，当没有用-t指定表名称时默认是filter
 service iptables save ##保存当前策略
 iptables -t filter -nL   ##查看filter表中的策略
 iptables -A INPUT -i lo -j ACCEPT  ##允许lo
 iptables -A INPUT -p tcp --dport 22 -j ACCEPT  #允许访问22端口
 iptables -A INPUT -s 172.25.254.20 -j ACCEPT  #允许20主机访问本纪所有端口
 iptables -A INPUT -s 172.25.254.250 -j ACCEPT
 iptables -A INPUT -j REJECT   ##拒绝所有主机的数据来源
 iptables -nL   ##列出filter表中的策略
 iptables -D INPUT 1   ##删除INPUT链中的第一条策略

    iptables -N cat  ##添加链cat

    iptables -E cat ccc  ##改变链名称

    iptables -X ccc   ##删除ccc链

    iptables -I INPUT -s 172.25.254.1 -j ACCEPT ##插入策略到INPUT中的第一条

    iptables -R INPUT 1 -i lo -j ACCEPT ##修改第一条策略

    iptables -D INPUT 1  ##删除INPUT链中的第一条策略

让两个不同网络段的ip可以相互通信
服务器需要有两块网卡，一块为0网段，一块为254网段，开启iptables，配置iptables策略，具体如下：


iptables -F   #刷掉filter表中的所以策略，当没有用-t指定表名称时默认是filter
   iptables -nL    ##列出filter表中的策略
   iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
   iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
   iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
   iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
   iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
   iptables -A INPUT -j REJECT
   iptables -nL

  sysctl -a | grep forward
  echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf
   sysctl -p
  iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 172.25.0.10
  iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.10

测试：
从一台ip为254网段的ping ip为0网段的
在254网段ip设置网关172.25.254.10