iptables学习（一）

从图中可知
到主机某进程的报文：prerouting–>input
由本机转发的报文：prerouting–>forward–>postrouting
本机某进程发出的报文：output–>postrouting

四张表

filter表：负责过滤

nat表：负责网络地址转换

mangle：数据包修改，重新封装

raw：关闭nat上使用的连接追踪机制

各链上能使用的表

注：若需要linux支持转发，需开启ip_forward功能，修改临时文件/proc/sys/ipv4/ip_forward文件，可以临时生效，永久生效需修改内核参数

各表上可以有的链

处理动作

ACCEPT：允许数据包通过

DROP：直接丢弃，不给任何回应

REJECT：拒绝通过，但会回应

SNAT：源地址转换

DNAT：目标地址转换

REDIRECT：在本机做端口转换

LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一规则，也就是说只做记录，然后传递。