如何在不中断现有连接的情况下重新加载 IPTables？

有几种方法可以向当前链添加新规则。例如;

• 您应该编写一个 shell 脚本来读取文件中的 IP 地址并将它们插入到链中。

  #!/bin/bash
  for ip in `cat ipadresses.txt`
  do
      iptables -I INPUT -p tcp -s $ip -m multiport --dports80,443 -j ACCEPT
  done
  

• 您应该将当前规则保存到文件并直接在文件中添加规则并再次从该文件恢复规则。

  /sbin/iptables-save > /path/to/save/iptables.rules
  or
  /sbin/iptables save > /path/to/save/iptables.rules
  

  使用任何文本编辑器编辑 iptables.rules 后，您应该复制任何行并更改源 IP 地址。

   # Generated by iptables-save v1.4.14 on Tue Aug 19 00:22:21 2014
  *mangle
  :PREROUTING ACCEPT [9809:4375246]
  :INPUT ACCEPT [9809:4375246]
  :FORWARD ACCEPT [0:0]
  :OUTPUT ACCEPT [4718:585599]
  :POSTROUTING ACCEPT [4718:585599]
  COMMIT
  # Completed on Tue Aug 19 00:22:21 2014
  # Generated by iptables-save v1.4.14 on Tue Aug 19 00:22:21 2014
  *filter
  :INPUT ACCEPT [0:0]
  :FORWARD ACCEPT [0:0]
  :OUTPUT ACCEPT [0:0]
  -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  -A INPUT -i lo -j ACCEPT
  -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
  -A INPUT -s 1.2.3.4/32 -p tcp -m tcp --dport 80 -j ACCEPT
  -A INPUT -p tcp -m tcp --dport 443 -j DROP
  -A INPUT -j DROP
  -A INPUT -j LOG
  -A INPUT -j REJECT --reject-with icmp-port-unreachable
  -A OUTPUT -j ACCEPT
  COMMIT
  # Completed on Tue Aug 19 00:22:21 2014
  # Generated by iptables-save v1.4.14 on Tue Aug 19 00:22:21 2014
  *nat
  :PREROUTING ACCEPT [6:352]
  :POSTROUTING ACCEPT [70:4526]
  :OUTPUT ACCEPT [70:4526]
  COMMIT
  # Completed on Tue Aug 19 00:22:21 2014
  

编辑文件后，您应该通过以下方式恢复规则

    iptables-restore < /path/to/save/iptables.rules

综上所述;

• 您无需刷新所有规则即可添加新 ip，只需插入新规则即可。
• 您有一个通用的丢弃规则，因此您不需要更多规则来丢弃具有 80 和 443 个目标端口的口袋。
• 您不需要每次都执行 iptables -I 命令。