linux iptables查看规则命令有哪些？

Linux iptables查看：全面掌握防火墙状态与规则管理

在Linux系统中,iptables作为核心的防火墙工具，通过查看其当前状态和规则配置，可以有效地监控系统网络安全、排查问题以及优化策略，本文将详细介绍如何使用Linux命令查看iptables的状态、规则链、计数器信息，并结合实际场景提供实用技巧，帮助用户高效管理防火墙规则。

查看iptables基础状态

要快速了解iptables的运行状态,可以使用iptables -L命令，该命令会列出所有链（如INPUT、OUTPUT、FORWARD）的默认规则，并显示每条规则的匹配条件、动作以及数据包和字节的计数器。

iptables -L

输出结果中,Chain INPUT (policy ACCEPT)表示INPUT链的默认策略为ACCEPT，后续列出的规则按优先级从上到下执行，若需查看更详细的信息，如规则编号、网卡接口等，可添加--line-numbers参数：

iptables -L --line-numbers

查看特定链的规则

系统中包含多个预定义链（如INPUT、OUTPUT、FORWARD）以及用户自定义链，若需查看特定链的规则，可在-L后指定链名称，仅查看INPUT链的规则：

iptables -L INPUT

若需查看自定义链（如自定义链名为MY_CHAIN），则执行：

iptables -L MY_CHAIN

使用-S选项可以以命令形式显示规则，便于直接复制或重新应用：

iptables -S INPUT

查看规则计数器与统计信息

iptables每条规则都会记录匹配的数据包数量（pkts）和字节总量（bytes），这些信息对于分析流量模式至关重要，通过-v（verbose）选项可以查看详细计数器：

iptables -L -v

输出中可能包含：

pkts bytes target     prot opt in     out     source               destination
  150 12000 ACCEPT     tcp  --  eth0   *       192.168.1.0/24       0.0.0.0/0             tcp dpt:22

150表示匹配该规则的数据包数量，12000为总字节数，若需实时监控计数器变化，可结合watch命令：

watch -n 1 iptables -L -v

查看iptables默认策略

默认策略（policy）决定了当数据包不匹配任何规则时的处理方式（ACCEPT或DROP），通过-P选项可查看所有链的默认策略：

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

若需批量查看所有链的默认策略,可使用：

iptables -S | grep "policy"

查看NAT与Mangle表的规则

iptables支持多个表（table），如filter（默认表）、nat（网络地址转换）、mangle（数据包修改）等，查看NAT表的规则需指定-t nat参数：

iptables -t nat -L

查看DNAT（目标地址转换）规则：

iptables -t nat -L PREROUTING -v

同样,查看mangle表的规则可使用：

iptables -t mangle -L

查看规则匹配条件与动作

每条iptables规则包含匹配条件（如源/目标IP、端口、协议）和动作（如ACCEPT、DROP、REJECT、LOG），通过-v和--numeric选项可以更清晰地查看这些信息：

iptables -L -v --numeric

以下规则表示允许来自192.168.1.100的SSH连接：

ACCEPT     tcp  --  192.168.1.100   0.0.0.0/0           tcp dpt:22

查看iptables版本与模块支持

若需确认iptables的版本或支持的模块,可使用以下命令：

iptables --version

查看当前加载的iptables模块：

lsmod | grep iptables

实用技巧与注意事项

1. 规则备份与恢复：在修改规则前，建议先备份当前配置：

   iptables-save > /etc/iptables/rules.v4

   恢复规则时使用：

   iptables-restore < /etc/iptables/rules.v4

2. 临时查看与持久化：iptables命令修改的规则默认重启后失效，若需持久化，需安装iptables-persistent（Debian/Ubuntu）或iptables-services（CentOS/RHEL）。

3. 错误排查：若规则未生效，检查链的默认策略是否为DROP，以及规则顺序是否正确（iptables按顺序匹配规则）。

4. 日志记录：通过添加LOG动作记录被拒绝的连接：

   iptables -A INPUT -j LOG --log-prefix "IPTABLES DROP: "

熟练掌握iptables的查看方法是Linux系统管理的基础技能,通过iptables -L、-v、-t等选项，可以全面了解防火墙规则、流量统计及策略配置，结合实际需求，合理分析规则匹配条件和计数器信息，能够有效提升网络安全性和运维效率，在实际操作中，建议定期备份规则并谨慎修改默认策略，以确保系统稳定运行。