8.2.1 策略与规则链

  策略：

防火墙按照从上到下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。

  数据包处理方式分类：

• 在进行路由选择前处理数据包（PREROUTING）；
• 处理流入的数据包（INPUT）；
• 处理流出的数据包（OUTPUT）
• 处理转发的数据包（FORWARD）；
• 在进行路由选择后处理数据包（POSTROUTING）。

  动作：

• ACCEPT（允许流量通过）
• REJECT（拒绝流量通过）
• LOG（记录日志信息）
• DROP（拒绝流量通过）

  ※ REJECT拒绝流量并给出不可达的响应，DROP拒绝流量不给出任何响应，流量发送方无法判断流量是被拒绝还是接收方主机当前不在线。