经常所说的防火墙其实并不是iptables,iptables只是处于用户空间的一个工具,而实现防火墙功能的组件叫netfilter,处于内核空间,而通过iptables这个工具可以真正意义上的操作netfilter组件。
四表五链:
四表:
filter表:默认表,不能修改packet的内容,只能过滤packet;内核模块:iptables_filte;存在于:INPUT、OUTPUT、FORWARD
nat表:网络地址转换;内核模块:iptable_nat;存在于:OUTPUT、POSTROUTING、PREROUTING(centos7中还存在INPUT链,centos6没有)
raw表:数据包的跟踪;内核模块:iptable_raw,只能存在于两个链上:PREROUTING、OUTPUT
mangle表:拆解、修改、重新封装数据包;内核模块:iptable_mangle,所有的链都可以使用。
五链:
INPUT:数据包流入;
OUTPUT:数据包流出;
FORWORD:数据包转发;
POSTROUTING:路由后;
PREROUTING:路由前。
表的优先级次序(从高到低):
raw---> mangle---> nat---> filter