iptables(一)

防火墙，即是墙，起隔离的作用，但linux防火墙的功能并不止如此。linux中的防火墙是在内核中运作的，而用户又不能与内核直接交流，因此只能在用户控件通过工具进行处理，防火墙工具具有代表性的有，版本由远及近：ipfw(firewall framework)，ipchains(firewall framework)，iptables(netfilter).

防火墙分为主机防火墙和网络防火墙，主机防火墙即进入主机内部进行规则设定功能的防火墙，而网络防火墙则需要像网关路由一样进行转发功能

防火墙还可以分为软件防火墙和硬件防火墙，硬件防火墙是把软件防火墙通过硬件实现，只需要一个命令就可以操作执行了，因此效率高，但是功能却不能修改，设定范围也有限，而软件防火墙则需要多条复杂的规则进行设定，因此逻辑性比较强，但是却不失灵活，并且功能强大。

四表五链：

四表，表即功能，从左至右优先级降低：raw，mangle，nat，filter

raw：即取消追踪功能

mangle：即打标签，类似盖章，没经过一次，打一次标签

nat：网络地址转换

filter：过滤

五链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING，五链分别对应了五个名字为其小写的hook function，即钩子函数

每个链可以有五个不同的功能：

PREROUTING: raw，mangle，nat

INPUT:mangle，filter

FORWARD:mangle，filter

OUTPUT:raw，mangle，nat，filter

POSTROUTING:mangle，nat

每个表对应了哪些链：

raw：PREROUTING

mangle：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

nat：PREROUTING,OUTPUT,POSTROUTING

filter：INPUT,FORWARD,OUTPUT