原文：https://mp.weixin.qq.com/s/XRL1io-cGeljgU7880MB1A

表與鏈

表

iptables 的四個表分別是 filter，mangle，nat，raw，預設表是filter。
filter 表：用來對資料包進行過濾，具體的規則要求決定如何處理一個數據包。
nat 表：主要用來修改資料包的 IP 地址、埠號資訊。
mangle 表：主要用來修改資料包的服務型別，生存週期，為資料包設定標記，實現流量整形、策略路由等。
raw 表：主要用來決定是否對資料包進行狀態跟蹤。

鏈

iptables 的五個鏈分別是 PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING。
input 鏈：當收到訪問本機地址的資料包時，將應用此鏈中的規則。
output 鏈：當本機向外傳送資料包時，將應用此鏈中的規則。
forward 鏈：當收到需要轉發給其他地址的資料包時，將應用此鏈中的規則，注意如果需要實現forward轉發需要開啟Linux核心中的ip_forward功能。
prerouting 鏈：在對資料包做路由選擇之前，將應用此鏈中的規則。
postrouting 鏈：在對資料包做路由選擇之後，將應用此鏈中的規則。

表和鏈的對應關係如下圖所示：

我們可以將資料包通過防火牆的流程總結為下圖：