netfilter/iptables 结构要点

转载请注明：http://blog.csdn.net/yeasy/article/details/44311169

四张表，每一个表有若干链。

filter

INPUT（路由表决策后，到本机的进程）
FORWARD（路由决策后。发现不是到本地）
OUTPUT（本机进程发包。路由决策后准备发到外面）

iptables -t TABLE 操作 CHAIN 序号  规则

-m state --state ESTABLISHED

nat

PREROUTING（路由之前）
POSTROUTING（包离开本机之前）
OUTPUT（本机进程发包，路由决策后准备发到外面）

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 10.0.1.200-10.0.1.205
iptables -t nat -A PREROUTING -i eth0 -d 10.0.1.201 -j DNAT --to 192.168.0.1

mangle

PREROUTING（路由之前）
INPUT（路由之后。进程之前）
FORWARD（路由决策后，发现不是到本地）
OUTPUT（本机进程发包。路由决策后准备发到外面）
POSTROUTING（包离开本机之前）

raw

PREROUTING
OUTPUT

总体结构