iptables中共4张表:filter,nat,raw,mangle,其中默认表为filter
如:iptables -A -p tcp -j ACCEPT 等价于 iptables -t filter -A -p tcp -j ACCEPT
iptables是linux的管理工具,位于/sbin/iptables,真正的实现防火墙的是netfilter,它在linux内核中实现包过滤的结构。
iptables包含4个表,5个链。其中表示按照对数据包的操作区分的,链是按照不同的hook点来区分的,表和链其实是netfilter的两个维度。
4个表分别是filter,nat,mangle,raw,其中默认表是filter。表处理的优先级为raw>mangle>nat>filter。
filter:一般的过滤功能。
nat:用于地址转发。
mangle:用于对特定数据包的修改。
raw:优先级最高,设置raw时,一般是为了不再让iptables做数据包的链接跟踪处理,提高性能。
5个链:PREROUTING,INPUT,OUTPUT,POSTROUTING,FORWARD
PREROUTING:数据包进入路由表之前。
INPUT:通过路由表后,目的地为本机。
FORWARD:通过路由表后,目的地不为本机。
OUTPUT:由本机产生,向外转发。
POSTROUTING:发送到网卡接口之前。
规则表:
1.filter:三个链:INPUT,FORWARD,OUTPUT