iptables基本概念（一）

一、四表五链

四表：（优先级由上至下）

　　- raw

　　- mangle

　　- nat

　　- filter(配置时默认的表)

五链：

　　- INPUT

　　- OUTPUT

　　- FORWARD

　　- PREROUTING

　　- POSTROUTING

表中含有的链：

 

 数据经过链的流程：

数据包经过每条链时都会匹配包含这条链的表的规则，表的优先级：raw->mangle->nat->filter

1. 数据包进入系统后，先通过PREROUTING链，配置包含PREROUTING链的表中的规则，然后进行路由判断，若是本机的包，则进入INPUT链进行处理，否则进入FORWARD链

2. 进入INPUT链的数据包再次进行规则匹配，然后将符合的数据包交给上层协议处理，上层协议处理完之后在交由OUTPUT链进行匹配，最后转交给POSTROUTING链

3. FORWARD链匹配完之后也交给POSTROUTING链

4. 最后由POSTROUTING链进行匹配输出

 

 总结：

数据包进入系统后统一由PREROUTING链先处理，最后由POSTROUTING链处理

数据包有两条路：一条进入主机，另一条由主机进行转发