1- 概述

___ netfilter/iptables: IP 信息包过滤系统，实际由两个组件netfilter和iptable组成。

1.1- netfiler/iptables关系：

1. netfilter组件也称为内核空间（kernelspace),是内核的一部分，由一些信息包和过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。
2. iptables组件试试一种工具，也称为用户空间（userspace），它使插入、喜欢和除去信息包过滤表中的规则变得容易。

1.2- iptables链表

___ iptables是基于内核的防火墙，功能非常强大。内置了filter,nat和mangle，raw四张表。所有规则配置后，立即生效，不需要重启服务。

1. filter负责过滤数据包，包括规则链有：input, output,forward
2. natS涉及网络地址转换，包括规则链有： prerouting,postrouting和output
3. mangle主要应用在修改数据包内容上，用来做流量整形，给数据包打标识，规则链有： input,output,nat,postrouting,prerouting
4. raw 用于处理异常，一般使用不到，包括规则链有：prerouting,output。

1.3- 五个链

1. input： 匹配目标ip是本机的数据包
2. output： 出口数据包，一般不在此链上做配置
3. forward： 匹配流经本机的数据包
4. prerouting：用来修改目的的地址，用来做DNAT。如：把内网中的80端口映射到路由器外网端口上
5. postrouting：用来修改源地址用来做SNAT。 如： 内网通过路由器NAT转换功能实现通过一个公网地址上网

1.4- 总结

iptables四张表，五链，结构如下：

1.5- 流量包经过顺序