iptables 笔记

linux的防火墙功能是由内核提供的，在版本2・4与2・6主要使用iptables防火墙机制。

ipbables利用的是数据包过滤机制，所以它会分析数据包的表头数据。根据表头数据与定义的规则来决定该数据包是否可以进入主机。也就是说，拿数据包的分析结果来“比对”预定义的规则内容，若数据包数据与规则内容相同则进行操作，否则就继续下一条规则的比对，重点在比对与分析顺序。

iptables是由多个表格(table)组成，每个表格都定义出自己默认的策略与规则，且每个表格用途都不同。

在默认情况下，linux的iptables至少就有三个表格，包括管理本机进出的filter、管理后端主机的NAT、管理特殊标记的mangle。还可以自定义额外的链

 

每个表格与其中链的用途分别如下：

INPUT：主要与数据包想进入linux本机有关

OUTPUT：主要与linux本机所要送出的数据包有关。

FORWARD：与linux本机没有关系，它可以将数据包转发到后端的计算机中，与NAT和table相关性很高。

NAT：这个表格主要用于来源地与目的地的IP或port转换，与linux本机无关，主要与linux主机后的局域网内的计算机相关。

          PREROUTING：在进行路由判断之前执行的规则（DNAT/REDIRECT）

          POSTROUTING：在进行路由判断之后执行的规则（SANT/MASQUERADE）

          OUTPUT：与发送出去的数据包有关。

mangle：这个表格主要是与特殊数据包的路由标记有关，早期仅有PREPOUTING及OUTPUT链，从kenrnel2.4.18之后加入了INPUT及FORWARD链。