如何向iptables规则添加注释？

在Linux中iptables和ip6tables命令用于在Linux上设置，维护和防火墙规则。
iptables规则注释最多256个字符。

如何在Linux上的iptables规则中添加注释

语法如下：

iptables -m comment --comment "comment here"
iptables -A INPUT -i eth1 -m comment --comment "my LAN - " -j DROP

如何显示防火墙规则注释？

当执行下面语句列出iptables规则时，将显示iptables的注释：

iptables -L
iptables -t filter -L FORWARD
iptables -t nat -L
iptables -t nat -L -n -v | more
iptables -t nat -L PREROUTING
iptables -t nat -L PREROUTING -n -v --line-number

向iptables规则中添加注释

使用iptables阻止某个IP，并添加注释：

# iptables -A INPUT -s 202.54.1.1 -j DROP -m comment --comment "DROP spam IP address - "

阻止80和443端口(HTTP/HTTPS)并进行注释：

# iptables -A INPUT -p tcp --dport 80 -m comment --comment "block HTTPD access - " -j DROP
# iptables -A INPUT -p tcp --dport 443 -m comment --comment "block HTTPDS access - " -j DROP

查看刚添加的规则：

# iptables -t filter -L INPUT -n

使用iptables防火墙为NAT规则创建注释

在CentOS中配置文件为/etc/sysconfig/iptables

直接编辑配置文件，添加规则：

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.2.201 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.122.229:1-65535 -m comment --comment "KVM hos to rhel7-theitroad VM port forwarding"
COMMIT

重新加载防火墙后

# service iptables restart

验证一下：

$ sudo iptables -t nat -L -n -v

向ufw防火墙规则添加注释

UFW主要用在Ubuntu，Debian，Fedora，CentOS，Arch Linux上。

为ufw规则添加注释：

$ sudo ufw rule comment 'my comment here'

示例：

$ sudo ufw allow 53 comment 'open tcp and udp port 53 for dns'

$ sudo ufw allow proto tcp from any to any port 80,443 comment 'Open web app ports'

如何为现有的iptables规则添加注释

直接进行替换（-R）：

iptables -R chain rulenum rule-specification

首先查看现有的规则：

# iptables -t filter -L INPUT -n --line-number

输出示例：

 DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25

为现有规则添加注释:(注意指定-R)

# iptables -R INPUT 11 -p tcp --dport 25 -j DROP -m comment --comment "Block port 25"

确认一下

# iptables -t filter -L INPUT -n --line-number

输出示例：

DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25 /* Block port 25 */