构筑Linux防火墙之IPtables的概念与用法(2)

　　命令(command)

　　命令中必要的组成部分command是iptables命令的最重要部分。它告诉 iptables 命令要做什么，例如，插入规则、将规则添加到链的末尾或删除规则。

　　在使用iptables时，如果必须的参数没有输入就按了回车，那么它就会给出一些提示信息，告诉你需要哪些参数等。iptables的选项-v用来显示iptables的版本，-h给出语法的简短说明。

　　匹配(match)

　　iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源和目的地地址、协议等)。可把它们归为五类：第一类是generic matches(通用的匹配)，适用于所有的规则;第二类是TCP matches，顾名思义，这只能用于TCP包;第三类是UDP matches， 当然它只能用在UDP包上了;第四类是ICMP matches ，针对ICMP包的;第五类比较特殊，针对的是状态，指所有者和访问的频率限制等。在此，只介绍通用匹配，熟悉了通用匹配，其它的几种也就比较容易理解了。