项目中需要用脚本去插入链规则,但是重复调用shell脚本可能导致重复插入,新版本可以用-C选项进行检测,老版本可以筛选判断一下再做处理。
一、检测方式
1、iptables新版本中有 -C 选项进行检测。
# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
iptables: Bad rule (does a matching rule exist in that chain?).
# echo $?
1
# iptables -A INPUT -p tcp --dport 8080 --jump ACCEPT
# iptables -C INPUT -p tcp --dport 8080 --jump ACCEPT
# echo $?
02、对于早期的iptables可以用下面命令来检测
# iptables-save | grep -- "-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT"二、避免重复插入方法
为了 通用性,采用早期iptables能使用的方式,具体操作如下,先用iptables-save命令获取,做判断不存在再插入就可以避免重复插入
local client_limit_deal=`iptables-save | grep -- "-A PREROUTING -i br-lan -j CLIENT_LIMIT_DEAL"`
if [ -z client_limit_deal ] ;
then
iptables -t mangle -I PREROUTING -i br-lan -j CLIENT_LIMIT_DEAL
fi三、其他
可以删除后再插入,如果不知道删除的规则可以使用iptables-save查看,根据规则删除即可,如:
c
//mangle表的PREROUTING链中规则如下:
Chain PREROUTING (policy ACCEPT 4127 packets, 345K bytes)
pkts bytes target prot opt in out source destination
2109 188K PACKAGE_PRI_DEAL all -- eth1 * 0.0.0.0/0 0.0.0.0/0
4127 345K fwmark all -- * * 0.0.0.0/0 0.0.0.0/0
//iptables-save查到对应的规则为
-A PREROUTING -i eth1 -j PACKAGE_PRI_DEAL
//删除可以按照如下写法:$DEV为对应的网口
iptables -t mangle -D PREROUTING -i $DEV -j PACKAGE_PRI_DEAL