tables_traverse.jpg

表的說明：

• filter表：負責過濾功能，防火墻；內(nèi)核模塊：iptables_filter
• nat表：network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換功能；內(nèi)核模塊：iptable_nat
• mangle表：拆解報文，做出修改，并重新封裝 的功能；iptable_mangle
• raw表：關(guān)閉nat表上啟用的連接追蹤機制；iptable_raw

規(guī)則 = 條件+動作

條件：

• 基本條件：源地址+目標地址
• 擴展條件：源端口、目標端口等，需要加載對應的模塊

動作：

• ACCEPT：允許數(shù)據(jù)包通過。
• DROP：直接丟棄數(shù)據(jù)包，不給任何回應信息，這時候客戶端會感覺自己的請求泥牛入海了，過了超時時間才會有反應。
• REJECT：拒絕數(shù)據(jù)包通過，必要時會給數(shù)據(jù)發(fā)送端一個響應的信息，客戶端剛請求就會收到拒絕的信息。
• SNAT：源地址轉(zhuǎn)換，解決內(nèi)網(wǎng)用戶用同一個公網(wǎng)地址上網(wǎng)的問題。
• MASQUERADE：是SNAT的一種特殊形式，適用于動態(tài)的、臨時會變的ip上。
• DNAT：目標地址轉(zhuǎn)換。
• REDIRECT：在本機做端口映射。
• LOG：在/var/log/messages文件中記錄日志信息，然后將數(shù)據(jù)包傳遞給下一條規(guī)則，也就是說除了記錄以外不對數(shù)據(jù)包做任何其他操作，仍然讓下一條規(guī)則去匹配