iptables 入门

1、 指定表

filter为包过滤防火墙默认表，nat表，mangle表\

2、 指定操作命令

添加、删除、更新

3、 指定链

操作包过滤防火墙的input,output,forward。也可能操作自己定义的。

4、 指定规则匹配器

各种规则匹配。如IP、端口、包类型

5、 指定目标动作

ACCEPT表示通过 DROP表示被丢弃 REJECT表示拒绝包

LOG表示包的有关信息被记录日志 TOS改写包的TOS值

 用法：<严格区分大小写>

iptables [-t table] cmd [chain][rule-matcher][-j target]

cmd:

-A 在所选链的尾添加一条或多条规则

-D 删除

-R 替换

-I 插入

-L 列出所有规则 

-F 清除

-N 创建

-X 删除指定的用户定义链

-P 为永久链指定默认规则

-C 检查给定的包是否与指定链的规则相匹配

-Z 将指定链中所有规则的包字节记数器清零

-h 显示帮助信息

//例子

# touch /etc/rc.d/filter-firewall

//

 IPT=/sbin/iptables

WWWSERVER=192.168.168.119

FTPSERVER=192.168.168.119

IPRANGE=192.168.168.0/24

$IPT -F

$IPT -P FORWARD DROP

$IPT -A FORWARD -p tcp -d $WWWSERVER --dport www -i eth0 -j ACCEPT

$IPT -A FORWARD -p tcp -d $FTPSERVER --dport ftp -i eth0 -j ACCEPT

$IPT -A INPUT -s 192.168.168.81 -i eth0 -j DROP 

QQ的是source-port 4000，destination-port 8000
只需要在FORWARD里加入一条规则就可以
iptables -A FORWARD -i eth0 -p udp --dport 8000 -j DROP

这里的eth0是内网网卡.

要删了这条规则只需要输入:
iptables -D FORWARD 1
这里的1是指它的序号

附:
封杀MSN的方法:
/sbin/iptables -I FORWARD -d gateway.messenger.hotmail.com -j DROP
/sbin/iptables -I FORWARD -p tcp --dport 1863 -j DROP

Iptables 入�T教程
2007-01-31 17:28
1、iptables介绍

iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。接下来，我将告诉你如何设置自己的规则，从现在就开始吧。

 

2、初始化工作

在shell提示符 # 下打入

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

以上每一个命令都有它确切的含义。一般设置你的iptables之前，首先要清除所有以前设置的规则，我们就把它叫做初始化好了。虽然很多情况下它什么也不做，但是保险起见，不妨小心一点吧！ 如果你用的是redhat 或fedora，那么你有更简单的办法

service iptables stop

 

3、开始设置规则:

接下下开始设置你的规则了

iptables -P INPUT DROP

这一条命令将会为你构建一个非常“安全”的防火墙，我很难想象有哪个hacker能攻破这样的机器，因为它将所有从网络进入你机器的数据丢弃(drop)了。这当然是安全过头了，此时你的机器将相当于没有网络。如果你ping localhost，你就会发现屏幕一直停在那里，因为ping收不到任何回应。

4 、添加规则

接着上文继续输入命令：

iptables -A INPUT -i ! ppp0 -j ACCEPT

这条规则的意思是：接受所有的，来源不是网络接口ppp0的数据。

我们假设你有两个网络接口，eth0连接局域网，loop是回环网（localhost）。ppp0是一般的adsl上网的internet网络接口，如果你不是这种上网方式，那则有可能是eth1。在此我假设你是adsl上网，你的internet接口是ppp0

此时你即允许了局域网的访问，你也可以访问localhost

此时再输入命令 ping localhost，结果还会和刚才一样吗？

到此我们还不能访问www,也不能mail，接着看吧。

 

5、我想访问www

iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT

允许来自网络接口ppp0(internet接口)，并且来源端口是80的数据进入你的计算机。
80端口正是www服务所使用的端口。

好了，现在可以看网页了。但是，你能看到吗？

如果你在浏览器的地址中输入www.baidu.com，能看到网页吗？

你得到的结果一定是：找不到主机www.baidu.com

但是，如果你再输入220.181.27.5,你仍然能够访问baidu的网页。

为什么？如果你了解dns的话就一定知道原因了。

因为如果你打入www.baidu.com,你的电脑无法取得www.baidu.com这个名称所能应的ip地址220.181.27.5。如果你确实记得这个ip，那么你仍然能够访问www,你当然可以只用ip来访问www，如果你想挑战你的记忆的话^ _ ^，当然，我们要打开DNS。

6、打开dns端口

打开你的dns端口，输入如下命令：

iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT

这条命令的含义是，接受所有来自网络接口ppp0,upd协议的53端口的数据。53也就是著名的dns端口。

此时测试一下，你能通过主机名称访问www吗？你能通过ip访问www吗？

当然，都可以！

 

7、查看防火墙

　此时可以查看你的防火墙了

iptables -L

　如果你只想访问www，那么就可以到此为止，你将只能访问www了。 不过先别急，将上面讲的内容总结一下，写成一个脚本。

 

#!/bin/bash

# This is a script

# Edit by liwei

# establish static firewall

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT

 

8、复杂吗?到此iptables可以按你的要求进行包过滤了。你可以再设定一些端口，允许你的机器访问这些端口。这样有可能，你不能访问QQ，也可能不能打网络游戏，是好是坏，还是要看你自己而定了。顺便说一下，QQ这个东西还真是不好控制，用户与服务器连接使用的好像是8888端口，而QQ上好友互发消息使用的又是udp的4444端口(具体是不是4444还不太清楚)。而且QQ还可以使用www的80端口进行登录并发消息，看来学无止境，你真的想把这个家伙控制住还不容易呢？还是进入我们的正题吧。

如果你的机器是服务器，怎么办？

9、如果不巧你的机器是服务器，并且要提供www服务。显然，以上的脚本就不能符合我们的要求了。但只要你撑握了规则，稍作修改同样也能很好的工作。在最后面加上一句

iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

这一句也就是将自己机器上的80端口对外开放了,这样internet上的其他人就能访问你的www了。当然，你的www服务器得工作才行。如果你的机器同时是smtp和pop3服务器，同样的再加上两条语句,将--dport后面的80改成25和110就行了。如果你还有一个ftp服务器，呵呵，如果你要打开100个端口呢……

我们的工作好像是重复性的打入类似的语句，你可能自己也想到了，我可以用一个循环语句来完成，对，此处可以有效的利用shell脚本的功能，也让你体验到了shell脚本语言的威力。看下文：

10、用脚本简化你的工作,阅读下面的脚本

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall

 

# define const here

Open_ports="80 25 110 10" # 自己机器对外开放的端口

Allow_ports="53 80 20 21" # internet的数据可以进入自己机器的端口

 

#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -P INPUT DROP #we can use another method to instead it

iptables -A INPUT -i ! ppp0 -j ACCEPT

 

# define ruler so that some data can come in.

for Port in "$Allow_ports" ; do

iptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT

iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT

done

for Port in "$Open_ports" ; do

iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT

iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT

done

 

这个脚本有三个部分（最前面的一段是注释，不算在这三部分中）

第一部分是定义一些端口：访问你的机器"Open_ports"端口的数据，允许进入；来源是"Allow_ports"端口的数据，也能够进入。

第二部分是iptables的初始化，第三部分是对定义的端口具体的操作。

如果以后我们的要求发生了一些变化，比如,你给自己的机器加上了一个ftp服务器，那么只要在第一部分"Open_ports"的定义中，将ftp对应的20与21端口加上去就行了。呵呵，到此你也一定体会到了脚本功能的强大的伸缩性，但脚本的能力还远不止这些呢！

 

11、使你的防火墙更加完善

看上面的脚本init部分的倒数第二句

iptables -P INPUT DROP

这是给防火墙设置默认规则。当进入我们计算机的数据，不匹配我们的任何一个条件时，那么就由默认规则来处理这个数据----drop掉，不给发送方任何应答。

也就是说，如果你从internet另外的一台计算机上ping你的主机的话，ping会一直停在那里，没有回应。

如果黑客用namp工具对你的电脑进行端口扫描，那么它会提示黑客，你的计算机处于防火墙的保护之中。我可不想让黑客对我的计算机了解太多，怎么办，如果我们把drop改成其他的动作，或许能够骗过这位刚出道的黑客呢。

怎么改呢？将刚才的那一句( iptables -P INPUT DROP 去掉，在脚本的最后面加上

iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset

iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable

这样就好多了，黑客虽然能扫描出我们所开放的端口，但是他却很难知道，我们的机器处在防火墙的保护之中。如果你只运行了ftp并且仅仅对局域网内部访问,他很难知道你是否运行了ftp。在此我们给不应该进入我们机器的数据，一个欺骗性的回答，而不是丢弃(drop)后就不再理会。这一个功能，在我们设计有状态的防火墙中(我这里讲的是静态的防火墙)特别有用。

你可以亲自操作一下，看一看修改前后用namp扫描得到的结果会有什么不同？

 

12、这个教程我想到此就结束了，其中有很多东西在这里没有提到，如ip伪装，端口转发，对数据包的记录功能。还有一个很重要的东西就是：iptables处理数据包的流程.在这里我想告诉你，你设置的过滤规则的顺序很重要，在此不宜详细介绍，因为这样一来，这个教程就会拘泥于细节。

iptables是复杂的，我在linuxsir上看过很多教程，它们往往多而全，反而让人望而生畏，希望我的这个教程，能够指导你入门。加油！

最后，我把完整的脚本写出来如下，你只要修改常量定义部分，就能表现出较大的伸缩性^_^

#!/bin/bash

# This is a script

# Edit by liwei

# establish a static firewall

 

# define const here

Open_ports="80 25 110 10" # 自己机器对外开放的端口

Allow_ports="53 80 20 21" # internet的数据可以进入自己机器的端口

 

#init

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

# The follow is comment , for make it better
# iptables -P INPUT DROP

iptables -A INPUT -i ! ppp0 -j ACCEPT

 

# define ruler so that some data can come in.

for Port in "$Allow_ports" ; do
ptables -A INPUT -i ppp0 -p tcp -sport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -sport $Port -j ACCEPT
done

for Port in "$Open_ports" ; do
iptables -A INPUT -i ppp0 -p tcp -dport $Port -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport $Port -j ACCEPT
done

# This is the last ruler , it can make you firewall better
iptables -A INPUT -i ppp0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i ppp0 -p udp -j REJECT --reject-with icmp-port-unreachable

 

这一节开始说明 iptables 的观念及用法

iptables 中的指令，均需区分大小写。

ipchains 和 iptables 在语法上的主要的差异，注意如下：
1. 在 ipchains 中，诸如 input 链，是使用小写的 chains 名，在 iptables 中，要改用大写 INPUT。
2. 在 iptables 中，要指定规则是欲作用在那一个规则表上(使用 -t 来指定，如 -t nat)，若不指定，则预设是作用在 filter 这个表。
3. 在 ipchains 中， -i 是指介面(interface)，但在 iptables 中，-i 则是指进入的方向，且多了 -o，代表出去的方向。
4. 在 iptables 中，来源 port 要使用关键字 --sport 或 --source-port
5. 在 iptables 中，目的 port 要使用关键字 --dport 或 --destination-port
6. 在 iptables 中，"丢弃" 的处置动作，不再使用 DENY 这个 target，改用 DROP。
7. 在 ipchains 的记录档功能 -l，已改为目标 -j LOG，并可指定记录档的标题。
8. 在 ipchains 中的-y，在 iptables 中可用 --syn 或 --tcp-flag SYN,ACK,FIN SYN
9. 在 iptables 中，imcp messages 型态，要加上关键字 --icmp-type，如：

iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT

 

iptables 使用时的例子
在设定 iptables 的封包过滤规则时，有几个例子，若先熟悉它们，往后就可自行套用，依此类推，很快地，您就可以进入这个天地之中。

##############################################

##--------##
准备工作
##--------##

首先查看一下机器上的有关于iptables的设定情况
作法如下：

iptables -L -n
iptablse -t nat -L -n

 

定义以下例子中引用的变数IP
$FW_IP="163.26.197.8"

打开核心 forward 功能,作法如下：

###-----------------------------------------------------###
# 打开 forward 功能
###-----------------------------------------------------###

echo "1" > /proc/sys/net/ipv4/ip_forward
或在/etc/sysconfig/network 中添加
FORWARD_IPV4=yes
打开转发功能

清除所有的规则,作法如下：:

一开始要先清除所有的规则，重新开始，以免旧有的规则影响新的设定。作法如下：

###-----------------------------------------------------###
# 清除先前的设定
###-----------------------------------------------------###

# 清除预设表 filter 中，所有规则链中的规则
iptables -F

# 清除预设表 filter 中，使用者自订链中的规则
iptables -X

# 清除mangle表中，所有规则链中的规则
iptables -F -t mangle

# 清除mangle表中，使用者自订链中的规则
iptables -t mangle -X

# 清除nat表中，所有规则链中的规则
iptables -F -t nat

# 清除nat表中，使用者自订链中的规则
iptables -t nat -X

###################################################

选定预设的策略
接着，要选定各个不同的规则链，预设的策略为何。作法如下：

预设全部丢弃：

###-----------------------------------------------------###
# 设定 filter table 的预设策略
###-----------------------------------------------------###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

 

或者预设全部接受：

###-----------------------------------------------------###
# 设定 filter table 的预设策略
###-----------------------------------------------------###
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

 

**各个规则链的预设策略可独立自主的设定，不必受其它链的影响。**

以下练习，若目标为 DROP(丢弃)，则 policy 请设为 ACCEPT(接受)；若目标为 ACCEPT，则 policy 请设为 DROP，如此方可看出效果。

开放某一个介面
作法如下：

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

注：IPFW 或 Netfilter 的封包流向，local process 不会经过 FORWARD Chain，
因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

 

IP 伪装(SNAT应用)
使内网的封包经过伪装之后，使用对外的 eth0 网卡当作代理号，对外连线。作法如下：

###-----------------------------------------------------###
# 启动内部对外转址
###-----------------------------------------------------###

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP

上述指令意指：把 172.16.0.0/16 这个网段，伪装成 $FW_IP 出去。

 

虚拟主机(DNAT应用)
利用转址、转 port 的方式，使外网的封包，可以到达内网中的服务器主机，俗称虚拟主机。这种方式可保护服务器主机大部份的 port 不被外

界存取，只开放公开服务的通道(如 Web Server port 80)，因此安全性较高。

作法如下：

###-----------------------------------------------------###
# 启动外部对内部转址
###-----------------------------------------------------###
# 凡对 $FW_IP:80 连线者, 则转址至 172.16.255.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80

 

开放内部主机可以 telnet 至外部的主机
开放内网，可以 telnet 至外部主机。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open 外部主机 telnet port 23
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

 

开放邮包转递通道
开放任意的邮件主机送信包给你的 Mail Server，而你的 Mail Server 也可以送信包过去。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open SMTP port 25
###-----------------------------------------------------###

# 以下是：别人可以送信给你
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

# 以下是：你可以送信给别人
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

 

开放对外离线下载信件的通道
开放内网可以对外网的 POP3 server 取信件。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open 对外部主机的 POP3 port 110
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

 

开放观看网页的通道
开放内网可以观看外网的网站。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open 对外部主机的 HTTP port 80
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT

 

开放查询外网的 DNS 主机
开放内网，可以查询外网任何一台 DNS 主机。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open DNS port 53
###-----------------------------------------------------###

# 第一次会用 udp 封包来查询
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 若有错误，会改用 tcp 封包来查询
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 开放这台主机上的 DNS 和外部的 DNS 主机互动查询：使用 udp
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
# 开放这台主机上的 DNS 和外部的 DNS 主机互动查询：使用 tcp
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

 

开放内部主机可以 ssh 至外部的主机
开放内网，可以 ssh 至外部主机。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open 外部主机 ssh port 22
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 以下是 ssh protocol 比较不同的地方
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

 

开放内部主机可以 ftp 至外部的主机
开放内网，可以 ftp 至外部主机。

作法如下：(预设 policy 为 DROP)

###-----------------------------------------------------###
# open 对外部主机 ftp port 21
###-----------------------------------------------------###

# 以下是打开命令 channel 21
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 以下是打开资料 channel 20
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

# 以下是打开 passive mode FTP 资料通道
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

 

开放 ping
可以对外 ping 任何一台主机。

作法如下：(预设 policy 为 DROP)

iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT

*********************************************************************************************************************************************************
追加：

问题1：为什么每个功能都用了两条链INPUT和OUTPUT，他们的作用是不是先允许网关机器output,然后再允许局域网到网关机器？
　　　　　　　　　　　 _____
　　 　　　　　　　　　 / 　　\ 　　　　 .
　　Incoming-->[Routing ]--->|FORWARD|------->Outgoing
　　　　　　　 [Decision]　\ _____/ 　　　 ^
　　　　　　　　　　| 　　　　　　　　　　 　 |
　　　　　　　　　　v 　　　　　　　　　 _____
　　　　　　　　 ____　　　　　　　　 /　 　\
　　　　　　　 / 　\ 　　　　　　　　|OUTPUT|
　　　　　　　　 |INPUT| 　　　　　　　　\ ______/
　　　　　　　 　\ ____/ 　　　　　　　　　　　^
　　　　　　　　　　|　　　　　　　　　　　　 |
　　　　　　　　　　　----> Local Process ----
　 还是分析一下包的在链中的处理流程吧！
其中三个圈代表前述的三个链，当一个包抵达上图其中的一个链时，相应的链就会被检验（examined）以决定如何处理这个包。如果链认为

应该丢弃（DROP）这个包，则将该包丢弃；如果链认为应该接受（ACCEPT）该包，那么它将继续在图中穿越。
（1）当一个包进入时，内核首先看包的目的地，如果目的地址为本机，这个包就下行至INPUT链，如果能够通过检测，则进入后面的包处理

程序。
（2）如果目的地址不是本机，但内核没有启动转发功能，或者内核不知道如何转发这个包，那么该包就会被丢弃。
（3）如果目的地址不是本机，转发功能也已经启动，那么这个包将右行至FORWARD链。如果该包被接受，那么它将会被发送出去。
（4）一个在本机运行的程序发送网络包，这时包会直接经过OUTPUT链，如果被接受，该包会继续被发送到它所指定的网络接口。

注:Incoming & Outgoing 可以是内网也可以是外网, Local Process是指提供代理 或 IP过滤的服务器.

现在知道各链的功能，也就能知道同时出现INPUT，OUTPUT规则语句的含义