Iptables默認策略的做用

iptables [-P {chain} {policy}] 該命令設置鏈的默認目標，即策略。全部與鏈中任何規則都不匹配的信息包都將被強制使用此鏈的策略

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

如上面例子，若是默認策略是ACCEPT，則表示在全部規則都不匹配時，默認接收對應的數據包。所以，在添加規則時，須要注意規則的順序。

-A INPUT -s x.x.x.x/24 -i eth0 -p tcp -m multiport --dports port1,port2 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m multiport --dports port1,port2 -j REJECT --reject-with icmp-port-unreachable

ACCEPT必定要在DROP REJECT等前面，才能經過iptables。若是新的規則加在DROP規則的後面，就起不到做用。

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

若是默認策略是DROP，則表示全部規則都不匹配時，則丟棄對應的數據包。這樣的話，就能夠在規則中，只添加容許的服務經過iptables，以白名單的形式，若是沒有在列表的請求則默認丟棄。

對此須要注意：
當使用iptables -F 時，會清掉全部配置的白名單。而後，全部數據包都會被丟棄。

對服務器進行遠程iptables配置時，必定要注意對應的關係。爲防止配置錯誤，可在本地電腦進行測試。