iptables <一> 简介

[align=center] iptables （一）[/align]
一.规则表：
1.filter：包含三个规则连：INPUT OUTPUT FORWARD。
它主要对数据包进行过滤，根据具体的规则决定是否允许该数据包。
filter表对应的内核模块是iptable_filter。

2.nat： 包含三个规则连：PREROUTING POSTROUTING OUTPUT。
主要用于修改ip数据包的ip地址或端口号信息。
nat表对应的内核模块是iptable_nat。

3.mangle：包含五个规则连：PREROUTING POSTROUTING OUTPUT INPUT FORWARD。
主要修改数据包的TOS TTL等。
对应的内核模块为iptable_mangle。

4.raw： 包含两个连：OUTPUT PREROUTING。
决定数据包是否被状态跟踪机制处理。
对应的内核模块为ipatble_raw。
【mangle 和 raw 表应用不是很广泛，主要是filter 和nat表】

二.规则表：
1.INPUT 当接收到访问到防火墙本身的数据包时，应用此规则。【入站】
2.OUTPUT 当防火墙本身发送数据包时应用此规则【出站】
3.FORWARD 当数据包需要防火墙转发时，应用此规则【转发】
4.PREROUTING 在数据包到达防火墙后，应用此规则【如：修改数据包的目的ip或目的端口号】

5.POSTROUTING 在对数据包进行路由选择后，应用此规则【如：修改数据包的源ip或端口号】

三.匹配顺序
1.规则表之间：依次应用raw -->mangle-->nat-->filter
2.规则连之间：A. 入站数据包: 来自外界的数据包到达防火墙后，首先被PREROUTING连处理，通过后，然后对其进行路由选择，

如果目的地址是防火墙本身，那么内核将其交给INPUT处理，通过以后再交给上层应用程序处理。
B. 转发数据包：来自外界的数据包被PREROUTING连处理通过后，进行路由，如果目的地址是外部地址，

则内核将其交给FORWARD连处理。
C. 出站数据包：首先被OUTPUT连处理，通过后，进行路由，然后交给POSTROUTING连处理。
3.规则之间的：依次按照第1条，第2条，第3条.......进行匹配和处理，如果找到一条匹配的规则，将不会往下查找。

【和 ACL的匹配顺序相同】