/位于   /sbin/iptables

成都創(chuàng)新互聯(lián)是專業(yè)的月湖網(wǎng)站建設(shè)公司，月湖接單;提供成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進行月湖網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!

  四表五鏈

  四表 filter. nat. mangle. raw

  五鏈 INPUT. FORWARD. OUTPUT. PREROUTING. POSTROUTING

  表的處理優(yōu)先級  raw >mangle >nat >filter

  filter：執(zhí)行所有的過濾動作

  nat:(端口映射，地址轉(zhuǎn)換)，所有網(wǎng)絡(luò)地址轉(zhuǎn)換都在nat上執(zhí)行

  mangle：用于數(shù)據(jù)包的修改

  raw：加快封包穿越防火墻的速度，可提高防火墻性能

  五個鏈的作用

  INPUT: 處理入站數(shù)據(jù)包，通過路由表后目的地為本機

  OUTPUT：由本級產(chǎn)生，向外轉(zhuǎn)發(fā)

  FORWARD：通過路由表后，目的地不為本機

  PREROUTING：數(shù)據(jù)包進入路由表之前

  POSTROUTING：在進行路由選擇前處理數(shù)據(jù)包，數(shù)據(jù)包進入路由表之前

  規(guī)則鏈之間的匹配順序

  入站數(shù)據(jù)：PREROUTING >INPUT

  出站數(shù)據(jù)：OUTPUT >POSTROUTING

  轉(zhuǎn)發(fā)數(shù)據(jù)：PREROOUTING >FORWARD >POSTROUTING

  1.當數(shù)據(jù)包的目標地址是本機時

 （1）數(shù)據(jù)包進入網(wǎng)絡(luò)接口

 （2）進入NAT表的prerouting鏈，根據(jù)需要做DNAT

 （3）進入mangle表的prerouting鏈，在這里根據(jù)需要改變數(shù)據(jù)包頭內(nèi)容（比如TTL值）

 （4）進入路由判斷，（進入本地還是轉(zhuǎn)發(fā)）

 （5）進入mangle表的INPUT鏈，在路由之后到達本地程序之前修改數(shù)據(jù)包頭內(nèi)容

 （6）進入filter表的INPUT鏈，所有目標地址是本機的數(shù)據(jù)包都會經(jīng)過這里

 （7）到達本機應用程序處理

  2.當數(shù)據(jù)包的源地址是本機時、

 （1）本機應用程序產(chǎn)生數(shù)據(jù)包

 （2）路由判斷

 （3）進入mangle表的OUTPUT鏈，在這里可以根據(jù)需要改變包頭內(nèi)容

 （4）進入nat表的OUTPUT鏈，根據(jù)需要對防火墻產(chǎn)產(chǎn)生的數(shù)據(jù)作DNAT

 （5）進入filter表的OUTPUT鏈，在這里可以對數(shù)據(jù)包的過濾條件進行設(shè)置

 （6）進入mangle表的PREROUTING鏈，這里主要做DNAT動作

 （7）進入NAT表的PREROUTING鏈，這里主要做DNAT動作

 （8）離開本機

  3.經(jīng)由本機轉(zhuǎn)發(fā)的數(shù)據(jù)包   （源、目標地址都不是本機）

 （1）數(shù)據(jù)包進入網(wǎng)絡(luò)接口

 （2）mangle表的PREROUTING鏈，在這里可以根據(jù)需要改變數(shù)據(jù)包內(nèi)容（TTL值）

 （3）nat表中FORWARD鏈，可根據(jù)需要對數(shù)據(jù)包做DNAT

 （4）mangle表的FORWARD鏈，在這里數(shù)據(jù)包頭內(nèi)容被修改

 （5）filter表的FORWARD鏈，需要轉(zhuǎn)發(fā)的數(shù)據(jù)包會到這里

 （6）mangle表的PREROUTING鏈

 （7）nat表的POSTROUTING鏈，在這里根據(jù)需要對數(shù)據(jù)包做SNAT

 （8）離開網(wǎng)絡(luò)接口

     Iptables表和鏈的動作

  filter表主要用于過濾數(shù)據(jù)包，對數(shù)據(jù)包進行（ACCEPT DROP REJECT LOG RETURN）

  filter表包含：

  INPUT鏈，過濾所有目標地址是本機的數(shù)據(jù)包

  FORWARD鏈，過濾由本機轉(zhuǎn)發(fā)的數(shù)據(jù)包

  OUTPUT鏈，過濾有本機產(chǎn)生的數(shù)據(jù)包

  NAT表主要用于網(wǎng)絡(luò)地址轉(zhuǎn)換

  (1)DNAT，主要用于改變數(shù)據(jù)包目的地址，使包能重新路由到某臺主機

  (2)SNAT,改變數(shù)據(jù)包的源地址，將源地址轉(zhuǎn)換成公網(wǎng)地址

  NAT表包含三條鏈

 （1）PREROUTING鏈，在數(shù)據(jù)包到達防火墻的時候改變目標地址

 （2）OUTPUT鏈，可以改變數(shù)據(jù)包的目的地址

 （3）POSTROUTING，在數(shù)據(jù)包離開防火墻時改變數(shù)據(jù)包源地址

  MANGLE表

  mangle表主要用于修改數(shù)據(jù)包，通過mangle表可以改變（TTL）等

  mangle表主要包含5條鏈

 （1）PREROUTING、 （2）POSTROUTING、 （3）OUTPUT、 （4）INPUT、 （5）FORWARD、