有次序的规则形成链 chain,
链的集合形成表 table.
默认的iptables表名叫"filter(过滤器)",包含3个默认链。
对于每个包来说,内核都会选择三个链中适合的一个进行处理:
. FORWARD链规则, 用于从一个网络接口输入,再转发到另一个网络接口输出的包;
. INPUT链规则, 用于以本机为目的地的包;
. OUTPUT链规则, 用于从本地主机发出的包;
除了filter表之外,iptables还包含"NAT"和"mangle"表。
. mangle表包含了链可以修改或者改变在NAT和包过滤之外的网络包的内容。
虽然mangle表对于做包的特殊处理很方便,比如重新设定IP包的ttl值,但是在大多数工作环境中一般不会用到它。
三个规则表的功能如下:
nat:此规则表拥有PREROUTING 和POSTROUTING 两个规则链,
主要功能为进行一对一、一对多、多对多等网址转换工作(SNAT、DNAT),
这个规则表除了作网址转换外,请不要做其它用途。
mangle:此规则表拥有PREROUTING、FORWARD 和POSTROUTING 三个规则链。
除了进行网址转换工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)
或者是设定MARK(将封包作记号,以进行后续的过滤),这时就必须将这些工作定义在mangle 规则表中;
由于使用率不高,我们不打算在这里讨论mangle 的用法。
filter: 这个规则表是默认规则表,拥有INPUT、FORWARD 和OUTPUT 三个规则链,
这个规则表顾名思义是用来进行封包过滤的处理动作(例如:DROP、LOG、ACCEPT 或REJECT),
我们会将基本规则都建立在此规则表中。
参考: http://blog.chinaunix.net/uid-26000296-id-4111127.html
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。