linux iptables使用注意

iptables里的规则，优先级是从上至下的，遇到符合条件的规则，通过后，就会直接解析生效，不会解析后面的规则。

所以要注意，比如想指定端口号，开放给指定的ip访问，ACCEPT要在drop的前面，不然是不会有正确效果的，类似以下:
iptables -I INPUT -p tcp --dport 9300 -j DROP
iptables -I INPUT -s 10.132.39.116 -p tcp --dport 9300 -j ACCEPT

ps:这样执行后，ACCEPT会在drop的前面

另外就是添加规则后，怎么让新规则生效的问题，之前一直以为修改好后，直接service iptables restart就会生效，但其实有区别的。

如果用iptables命令直接添加规则，那么添加后，直接执行service iptables save就可以了。

如果我们直接编辑/etc/sysconfig/iptables文件，则需要执行service iptables restart才生效（不需要执行save动作）