◆规则表
按照防火墙策略的不同用途,iptables管理着四个不同的规则表,其功能分别由独立的内核模块实现。
>>>filter表,包含三个规则链:INPUT,FORWARD,OUTPUT。
filter 表主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包。 filter 表对应的内核模块为 iptable_filter。
>>>nat表,包含三个规则链:PREROUTING,POSTROUTING,OUTPUT。
nat (Network Address Translation,网络地址转换)表主要用于修改数据包的IP地址、端口号等信息。
nat 表对应的内核模块为 iptable_nat。
>>>mangle表,包含五个规则链:PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。
mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。
mangle 表对应的内核模块为 iptable_mangle。