基于注释的 iptables 规则控制

利用注释控制 iptables 规则，可以使得管理 iptables 规则变得非常简单高效。通过检索 iptables 规则内的注释内容，可以方便地列出与移除一组 iptables 规则。

何谓“利用注释控制 iptables”

iptables 提供了注释功能，可以在添加规则的同时对添加的规则进行注释。如图，列出的 iptables 规则中，在 /* */ 中的即为注释。

iptables 规则示例

通过检索 iptables 规则中的注释，可以实现以下的功能：

列出所有的注释
对于给定的注释内容，列出所有匹配的规则
对于给定的注释内容，删除所有匹配的规则

下面针对各个功能分别进行说明：

注释的添加

注释的添加通过 -m comment --comment [注释内容] 来完成。以下是一条示例语句：

iptables -I INPUT -p tcp --dport 443 -j REJECT -m comment --comment reject-https

上面的语句创建了一条拒绝 HTTPS 传入连接的 iptables 规则，并注释为 reject-https。

注释的内容不建议使用空格。因为 bash 使用空格来分隔命令与参数。

列出所有注释

iptables-save | grep -oP "(?<=--comment\ ).*?(?=\ -)" | sort | uniq

上面的命令会列出所有的注释，以上图之内容举例，会输出：

catboy-web
noobamici

以下的命令也会输出相同的内容，但是因为速度太慢，因此不推荐：

iptables -L | grep -oP "(?<=/*\ ).*?(?=\ */)" | sort | uniq

列出所有匹配注释内容的规则

iptables-save | grep $comment

其中，$comment 是注释内容。以上图为例，有如下输出：

# iptables-save | grep catboy-web
-A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 443 -m comment --comment catboy-web -j ACCEPT
-A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 80 -m comment --comment catboy-web -j ACCEPT

删除所有匹配注释内容的规则

iptables-save | grep -v $comment | iptables-restore

其中，$comment 是注释内容。若 $comment 取 catboy-web，则该命令会删除所有匹配 catboy-web 注释的规则。

何谓“利用注释控制 iptables”

注释的添加

列出所有注释

列出所有匹配注释内容的规则

删除所有匹配注释内容的规则

Recommend

淘宝上买东西怎么便宜在微信上？进微信群领优惠券省钱

Say Hello to Jekyll

愛上Mob Programming（下）

“歪门邪道” – SparkFun Pro Micro Warframe 硬件级挂机助手

探究 Go

一道快速考察

大事件的引爆点

富士康印度工厂出现大规模感染，iPhone减产超50%！

科学家获得五大洋最深处精确数据：挑战者深渊仍为全球之最，南冰洋易主

淘客云发单如何绑定微信?做淘客必备云发单助手软件APP

About Joyk