linux – 如何以编程方式访问iptables？

这就是我为iptables创建我的Perl接口的方法：CPAN IPTables::libiptc

但是libiptc库只为您提供了基本链结构的API.
访问和解析各个规则有点复杂,因为它依赖于dyn加载各个目标/匹配模块的共享库.

我在CPAN module中的方法是我从iptables.c链接了do_command()来进行规则更改.

您需要知道的另一件事是：

单个iptables调用,执行以下操作：

>将整个规则集从内核复制到用户空间
>用libiptc解析它
>执行一项或多项更改(通常只需通过iptables cmd进行一次更改)
>通过libiptc将其转换为内核blob格式
>将整个(新)规则集从用户空间复制到内核.

因此,如果您每次只进行一次更改,那么这是一个繁重的过程.但是你也可以利用这个优势,并一次执行许多更改,并将这些更改显示为内核的单个原子更改.