iptables-save

Команда iptables-save позволяет записать текущий набор правил из цепочек iptables в файл, который впоследствии можно использовать с командой iptables-restore для восстановления таблиц. Команда достаточно проста и использует лишь два аргумента.

iptables-save [-c] [-b] [-t table]

По умолчанию вывод осуществляется на стандартное устройство вывода (консоль), но его можно перенаправить в файл стандартными средствами Linux

iptables-save > <имя файла>

Опция -c говорит программе iptables-save о необходимости сохранения значений счетчиков пакетов и байтов для каждого правила. Сохранение этих данных может быть полезно при перезагрузке брандмауэра, поскольку позволяет сохранить все данные о работе правил (статистика, учет трафика и т. п.). По умолчанию значения счетчиков не сохраняются.

Аргумент -t позволяет указать программе iptables-save имя таблицы, для которой должны быть сохранены правила. При отсутствии этого аргумента автоматически сохраняются все правила из каждой таблицы. Раздельное сохранение правил из каждой таблицы может быть полезно для анализа и изменения списка правил.

Опция -d (--dump) на первый взгляд должна как-то управлять выводом информации, но в реальности она не меняет ничего.

Опция -b (--binary) в программе еще не реализована.

Результат сохранения таблиц

:<имя цепочки> <политика цепочки> [<счетчик пакетов>:<счетчик байтов>].

Далее для каждой таблицы выводятся списки правил в каждой из встроенных и пользовательских цепочек таблицы. Завершается вывод информации для каждой таблицы строкой, содержащей ключевое слово COMMIT, указывающее, что в этой точке все правила таблицы передаются ядру.

iptables-restore

Программа iptables-restore служит для загрузки правил iptables, сохраненных ранее с помощью команды iptables-save¹. Команду можно использовать с несколькими опциями:

iptables-restore [-b] [-c] [-v] [-h] [M] <имя файла>

Опция -c используется для установки значений счетчиков пакетов и байтов в соответствии с введенными значениями. Если вы использовали команду iptables-save с такой же опцией, значения счетчиков будут сохранены в файле. Для задания этой опции в командной строке можно также использовать полное название параметра --counters.

Аргумент -n (--noflush) говорит программе iptables-restore о необходимости сохранения имеющихся в таблицах правил. По умолчанию iptables-restore сбрасывает все таблицы и заполняет их впоследствии правилами из файла. Опция -n позволяет добавлять правила без удаления существующих. Такая возможность очень удобна в тех случаях, когда набор правил сохраняется в нескольких файлах (например, отдельный файл для каждой таблицы.

Опция -v (--verbose) обеспечивает при загрузке правил из файла вывод на консоль информации о процессе (строки комментариев из набора правил, сообщения об ошибках). При работе с большими списками правил эта опция очень удобна, хотя и несколько замедляет процесс загрузки правил.

Опция -b (--binary) в программе еще не реализована.

Аргумент

--modprobe=<команда>

служит для загрузки модулей, которые могут потребоваться для работы правил.

1Старые версии программы принимали данные только со стандартного устройства ввода (клавиатуры), поэтому для них следует использовать стандартные средства перенаправления ввода-вывода Linux. В руководстве man для программы по-прежнему указывается только возможность ввода с устройства STDIN, но практика показывает, что программа умеет работать с файлами без перенаправления ввода.