iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。
iptables中的“四表五链”
A.“四表”是指,iptables的功能——filter,nat,mangle,raw.
filter,控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input,forward,output
nat,控制数据包中地址转换,可以控制的链路有prerouting,input,output,postrouting
mangle,修改数据包中的原数据,可以控制的链路有prerouting,input,forward,output,postrouting
raw,控制nat表中连接追踪机制的启用状况,可以控制的链路有prerouting,output
注:在centos7中,还有security表,不过这里不作介绍
B.“五链”是指内核中控制网络的NetFilter定义的五个规则链,分别为
PREROUTING,路由前
INPUT,数据包流入口
FORWARD,转发管卡
OUTPUT,数据包出口
POSTROUTING,路由后
