iptables规则表

iptables管理着四个不同的规则表，实现不同的防火墙用途，其功能分别由独立的内核模块实现。

filter表，包含三个规则链：INPUT,FORWARD,OUTPUT。

filter 表主要用于对数据包进行过滤，根据具体的规则决定是否放行该数据包。

filter 表对应的内核模块为 iptable_filter。

nat表，包含三个规则链：PREROUTING，POSTROUTING，OUTPUT。

nat (Network Address Translation，网络地址转换)表主要用于修改数据包的IP地址、端口号等信息。

nat 表对应的内核模块为 iptable_nat。

mangle表，包含五个规则链：PREROUTING，POSTROUTING，INPUT，OUTPUT，FORWARD。

mangle表主要用于修改数据包的TOS（Type Of Service，服务类型）、TTL（Time To Live，生存周期）指以及为数据包设置Mark标记，以实现Qos(Quality Of Service，服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。

mangle 表对应的内核模块为 iptable_mangle。

raw表，包含两条规则链：OUTPUT、PREROUTING。

raw表是自1.2.9以后版本的iptables新增的表，主要用于决定数据包是否被状态跟踪机制处理。在匹配数据包时，raw表的规则要优先于其他表。

raw表对应的内核模块为iptable_raw。

总结：在iptables的四个规则表中，mangle表和raw的表应用相对较少，filter表和nat表的防火墙应用会经常用到。