iptables <一> 简介

       iptables （一）

一.规则表：

1.filter：包含三个规则连：INPUT OUTPUT FORWARD。

 它主要对数据包进行过滤，根据具体的规则决定是否允许该数据包。

 filter表对应的内核模块是iptable_filter。

2.nat：   包含三个规则连：PREROUTING  POSTROUTING  OUTPUT。

 主要用于修改ip数据包的ip地址或端口号信息。

 nat表对应的内核模块是iptable_nat。

3.mangle：包含五个规则连：PREROUTING  POSTROUTING  OUTPUT  INPUT FORWARD。

   主要修改数据包的TOS TTL等。

   对应的内核模块为iptable_mangle。

4.raw：   包含两个连：OUTPUT  PREROUTING。

   决定数据包是否被状态跟踪机制处理。

   对应的内核模块为ipatble_raw。

【mangle  和 raw 表应用不是很广泛，主要是filter 和nat表】 
 
  

二.规则表：

1.INPUT       当接收到访问到防火墙本身的数据包时，应用此规则。【入站】

2.OUTPUT      当防火墙本身发送数据包时应用此规则【出站】

3.FORWARD     当数据包需要防火墙转发时，应用此规则【转发】

4.PREROUTING  在数据包到达防火墙后，应用此规则【如：修改数据包的目的ip或目的端口号】
5.POSTROUTING 在对数据包进行路由选择后，应用此规则【如：修改数据包的源ip或端口号】

三.匹配顺序

1.规则表之间：依次应用raw -->mangle-->nat-->filter

2.规则连之间：A. 入站数据包: 来自外界的数据包到达防火墙后，首先被PREROUTING连处理，通过后，然后对其进行路由选择，
   如果目的地址是防火墙本身，那么内核将其交给INPUT处理，通过以后再交给上层应用程序处理。

       B. 转发数据包：来自外界的数据包被PREROUTING连处理通过后，进行路由，如果目的地址是外部地址，
   则内核将其交给FORWARD连处理。

       C. 出站数据包：首先被OUTPUT连处理，通过后，进行路由，然后交给POSTROUTING连处理。

3.规则之间的：依次按照第1条，第2条，第3条.......进行匹配和处理，如果找到一条匹配的规则，将不会往下查找。
  【和 ACL的匹配顺序相同】