[root@www ~]# iptables [-t tables] [-L] [-nv]选项与参数：-t ：后面接 table ，例如 nat 或 filter ，若省略此项目，则使用默认的 filter-L ：列出目前的 table 的规则-n ：不进行 IP 与 HOSTNAME 的反查，显示讯息的速度会快很多！-v ：列出更多的信息，包括通过该规则的封包总位数、相关的网络接口等

[root@www ~]# iptables-save [-t table]选项与参数：-t ：可以仅针对某些表格来输出，例如仅针对 nat 或 filter 等等

[root@www ~]# iptables [-t tables] [-FXZ]选项与参数：-F ：清除所有的已订定的规则；-X ：杀掉所有使用者 "自定义" 的 chain (应该说的是 tables ）啰；-Z ：将所有的 chain 的计数与流量统计都归零范例：清除本机防火墙 (filter) 的所有规则[root@www ~]# iptables -F[root@www ~]# iptables -X[root@www ~]# iptables -Z

[root@www ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]选项与参数：-P ：定义政策( Policy )。注意，这个 P 为大写啊！ACCEPT ：该封包可接受DROP   ：该封包直接丢弃，不会让 client 端知道为何被丢弃。

[root@www ~]# iptables [-AI 链名] [-io 网络接口] [-p 协议] \> [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]选项与参数：-AI 链名：针对某的链进行规则的 "插入" 或 "累加"    -A ：新增加一条规则，该规则增加在原本规则的最后面。例如原本已经有四条规则，         使用 -A 就可以加上第五条规则！    -I ：插入一条规则。如果没有指定此规则的顺序，默认是插入变成第一条规则。         例如原本有四条规则，使用 -I 则该规则变成第一条，而原本四条变成 2~5 号    链 ：有 INPUT, OUTPUT, FORWARD 等，此链名称又与 -io 有关，请看底下。-io 网络接口：设定封包进出的接口规范    -i ：封包所进入的那个网络接口，例如 eth0, lo 等接口。需与 INPUT 链配合；    -o ：封包所传出的那个网络接口，需与 OUTPUT 链配合；-p 协定：设定此规则适用于哪种封包格式   主要的封包格式有： tcp, udp, icmp 及 all 。-s 来源 IP/网域：设定此规则之封包的来源项目，可指定单纯的 IP 或包括网域，例如：   IP  ：192.168.0.100   网域：192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。   若规范为『不许』时，则加上 ! 即可，例如：   -s ! 192.168.100.0/24 表示不许 192.168.100.0/24 之封包来源；-d 目标 IP/网域：同 -s ，只不过这里指的是目标的 IP 或网域。-j ：后面接动作，主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)

[root@www ~]# iptables [-AI 链] [-io 网络接口] [-p tcp,udp] \> [-s 来源IP/网域] [--sport 埠口范围] \> [-d 目标IP/网域] [--dport 埠口范围] -j [ACCEPT|DROP|REJECT]选项与参数：--sport 埠口范围：限制来源的端口号码，端口号码可以是连续的，例如 1024:65535--dport 埠口范围：限制目标的端口号码。

[root@www ~]# iptables -A INPUT [-m state] [--state 状态]选项与参数：-m ：一些 iptables 的外挂模块，主要常见的有：     state ：状态模块     mac   ：网络卡硬件地址 (hardware address)--state ：一些封包的状态，主要有：     INVALID    ：无效的封包，例如数据破损的封包状态     ESTABLISHED：已经联机成功的联机状态；     NEW        ：想要新建立联机的封包状态；     RELATED    ：这个最常用！表示这个封包是与我们主机发送出去的封包有关范例：只要已建立或相关封包就予以通过，只要是不合法封包就丢弃[root@www ~]# iptables -A INPUT -m state \> --state RELATED,ESTABLISHED -j ACCEPT[root@www ~]# iptables -A INPUT -m state --state INVALID -j DROP

范例：针对局域网络内的 aa:bb:cc:dd:ee:ff 主机开放其联机[root@www ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff \> -j ACCEPT选项与参数：--mac-source ：就是来源主机的 MAC 啦！

[root@www ~]# iptables -A INPUT [-p icmp] [--icmp-type 类型] -j ACCEPT选项与参数：--icmp-type ：后面必须要接 ICMP 的封包类型，也可以使用代号，              例如 8  代表 echo request 的意思。