什么是iptables？

iptables是Linux下功能強大的應用層防火墻工具，但了解其規(guī)則原理和基礎后，配置起來也非常簡單。

什么是Netfilter？

說到iptables必然提到Netfilter，iptables是應用層的，其實質是一個定義規(guī)則的配置工具，而核心的數據包攔截和轉發(fā)是Netfiler。

Netfilter是Linux操作系統核心層內部的一個數據包處理模塊。

iptables和Netfilter關系圖：

在這張圖可以看出，Netfilter作用于網絡層，數據包通過網絡層會經過Netfilter的五個掛載點（Hook point）：PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。

任何一個數據包，只要經過本機，必將經過這五個掛載點的其中一個。

iptables規(guī)則原理

iptables的規(guī)則組成，又被稱為四表五鏈：

四張表 + 五個掛載點 + 規(guī)則<br><br>四張表：filter表、nat表、mangle表、raw表<br><br>五個掛載點：PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING
具體來說，就是iptables每一條允許/拒絕或轉發(fā)等規(guī)則必須選擇一個掛載點，關聯一張表。

規(guī)則代表了對數據包的具體操作，掛載點代表了操作的位置，表代表了作用的目的。

iptables的四張表

現在用的比較多的表是前兩個：

1、filter 用于過濾；

2、nat 用于地址轉換；

3、mangle 修改數據包；

4、raw 一般是為了不再讓iptables做數據包的鏈接跟蹤處理，跳過其他表，提高性能；

數據包在規(guī)則表、掛載點的匹配流程圖

以下這張圖是數據包經過掛載點的流程圖，在每個掛載點可以看到有哪些表可以用于定義規(guī)則：

對于filter表一般只能做在3個鏈上：INPUT、FORWARD、OUTPUT；

對于nat表一般也只能做在3個鏈上：PREROUTING、OUTPUT、POSTROUTING。