A.1. 查看当前规则集的命令

查看当前正在使用的规则集是个十分常用的操作，使用iptables的什么命令还记得吗？我们可是在规则是如何练成的这一章里介绍过啊，虽然到时说得简单了点。再复习一下吧，命令语法如下：

iptables -L

这个命令会尽可能地以易读的形式显示当前正在使用的规则集。比如，他会尽量用文档/etc/services里相应的名字表示端口号，用相应的DNS记录表示IP地址。但后者可能会导致一些问题，例如，他想尽力把LAN的IP地址（如192.168.1.1）解析成相应的名字。但192.168.0.0/16这个网段是私有的，也就是说，他只能用在局域网里，而不能在Internet里使用，所以他不会被Internet上的DNS服务器解析。因此，当解析这个地址时，命令就似乎停在那儿了。为了避免这种情况的发生，我们就要使用选项：

iptables -L -n

假如您想看看每个策略或每条规则、每条链的简单流量统计，能够在上面的命令后再加一个verbose标志，如下：

iptables -L -n -v

不要忘了，iptables -L命令还能够查看nat表和mangle表的内容哦（更不要忘了，默认的表是filter），只需要使用-t选项,比如我们只想看nat表的规则，就用下面的命令：

iptables -L -t nat

在/proc里，可能更有一些文档您会感兴趣。比如，您能够在连接跟踪记录表里看到当前有哪些连接。这个表包含了当前的任何连接，您还能够通过他了解到每个连接处于什么状态。要注意，这个表是不能编辑的，即使能够，也不应该更改他。能够用下面的命令查看这个表：

cat /proc/net/ip_conntrack | less

此命令会显示当前任何被跟踪的连接，但要读懂那些记录可是有些难度哦。

A.2. 修正和清空iptables的命令

即使您把iptables弄的一塌糊涂，我们也有很有效的命令来处理，而不必重新启动电脑。我接到过很多关于这个问题的询问，所以我想最好在这儿回答一下。假如您增加的规则有问题，要想删掉他，只要把命令中的-A改为-D即可。这样，iptables就会找到那个错误的规则并删掉他，但假如在您的规则里有好几条同样的规则，他只能删掉找到的第一条。假如您不想这样的事情发生，那就试试用序号来删除。如，您想删除INPUT链的第10条规则，能够使用 iptables -D INPUT 10