iptables 運(yùn)行邏輯及-I -A 參數(shù)解析

剛開始接觸Iptables 就對-I  和 -A 參數(shù)很疑惑，-I 插入一條或多條規(guī)則 ，-A 是追加一條或多條規(guī)則。

都是加一條規(guī)則，究竟這兩個有什么不同呢？

實驗：

拿了兩臺機(jī)器，一臺發(fā)PING包，一臺被PING。

兩臺機(jī)器使用 iptables -nvL INPUT 查看，iptables 是空的

然后在被PING的機(jī)器加入 iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP 

再用 iptables -nvL INPUT 查看如下：

Chain INPUT (policy ACCEPT 592 packets, 55783 bytes)

 pkts bytes target     prot opt in     out     source               destination 

    8   672 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

此時發(fā)PING包的機(jī)器顯示的PING包停住了。

此時在被PING的機(jī)器再加入 iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT

再用 iptables -nvL INPUT 查看如下：

Chain INPUT (policy ACCEPT 678 packets, 62701 bytes)

 pkts bytes target     prot opt in     out     source               destination 

   21  1764 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

顯示iptables 被追加了一條規(guī)則，但發(fā)PING包的機(jī)器顯示的PING包仍停住，證明新加入的規(guī)則不能放行PING包

在被PING的機(jī)器再加入iptables -I INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT

再用 iptables -nvL INPUT 查看如下：

Chain INPUT (policy ACCEPT 770 packets, 70223 bytes)

 pkts bytes target     prot opt in     out     source               destination 

    2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

   31  2604 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

顯示iptables 新增一條規(guī)則，此時發(fā)PING包的機(jī)器顯示的PING包再次跳動，證明新加入的規(guī)則能放行PING包

而兩個規(guī)則放行規(guī)則的差異只是 -A 和 -I ，-A 追加規(guī)則在DROP 規(guī)則后，-I增加規(guī)則在DROP 規(guī)則前。

iptables 是由上而下的進(jìn)行規(guī)則匹配，放行規(guī)則需在禁行規(guī)則之前才能生效。