iptables简介

1、 什么是iptables？

iptables是linux防火墙工作在用户空间的管理工具，是 netfilter/iptables
IP信息包过滤系统的一部分，用来设置、维护和检查Linux内核的IP数据包过滤规则

2、 iptables特点

iptables是基于内核的防火墙，功能非常强大；iptables内置了filter、nat和mangle三张表。所有规则配置后、立即生效、不需要重启服务。

iptables组成

iptables的结构是有表（tables）组成的，而tables是由链组成，链又是由具体的规则组成。因此我们在编写iptables规则时，要先指定表，在指定链。tables的作用是区分不同功能的规则，并且存储这些规则

注意：raw表：用于处理异常。包括的规则链有：prerouting,output;一般使用不到。
总体说来，iptables是由“三表五链”组成

1、 三张表介绍

• filter

负责过滤数据包，包括的规则链有：input,output和forward

• nat

用于网络地址转换（IP、端口），包括的规则链有：prerouting，postrouting和output

• mangle

主要应用在修改数据包、流量整形、给数据包打标识，默认的规则链有：INPUT、OUTPUT、forward，POSTROUTING，PREROUTING

优先级：mangle > nat >filter

2、 五条链

• input

配置目标IP是本机的数据包

• output

出口数据包，一般不在此链上做配置

• forward

配置流经本机的数据包

• perouting

修改目的地址，用来做DNAT。如：把内网中的80端口映射到互联网端口

• postrouting

修改源地址，用来做SNAT。如：局域网共享一个公网IP接入internet

iptables处理数据包流程

1、 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
2、 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。
3、 本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
4、 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWORD链，然后到达POSTROUTING链输出。
总结：整体数据包分两类：1、发送给防火墙的数据包；2、需要经过防火墙的数据包