iptables自定义链

iptables自定义链

其实iptables中的自定义链已经够用了。但是我们为什么还要自定义链呢？当链上的规则足够多的时候，就不容易管理了。这个时候我们可以自定义分类，将不同的规则放在不同的链中。

1.创建自定义链

iptables -t filter -N IN_WEB

在filter这个表上创建一个自定义的链IN_WEB.

2.在自定义链上设置规则

iptables -t filter -A IN_WEB -s 192.168.1.1 -j REJECT

在filter表中的IN_WEB链上创建一个规则，对原地址为192.168.1.1这个的连接进行阻止。

3.这时候自定义链的规则还不能使用，必须借助于默认链来是实现。

当然，自定义链在哪里创建，应该被哪调默认的链引用，取决于应用场景，比如说要匹配入站报文，所以可以在INPUT链中引用

iptables -A INPUT -p tcp --dport 80 -j IN_WEB

我们在INPUT链中添加了一些规则，访问本机80端口的tcp报文将会被这条规则匹配到。-j IN_WEB表示：访问80端口的tcp报文将由自定义链“IN_WEB”中的规则处理，没错，在之前的例子中-j 表示动作，当我们将动作替换成自定义链时，就表示被当前规则匹配到的报文将交由对应的自定义链中的规则处理，具体怎么处理，取决于自定义链中的规则。当IN_WEB被INPUT引用后，引用计数将会加1.

3.重命名自定义链

iptables -E IN_WEB WEB

4.删除自定义链

iptables -X WEB