Linux－－netfilter/iptables+squid综合案例分析

核心提示： filter：INPUT、FORWARD和OUTPUT，nat：PREROUTING、POSTROUTING和OUTPUT，Linux－－netfilter/iptables+squid综合案例分析(2)，mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD，nat表

filter：INPUT、FORWARD和OUTPUT。

nat：PREROUTING、POSTROUTING和OUTPUT。

mangle：PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD。

nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NAT。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被 NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因，对这一点，后面会有更加详细的讨论。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前改变其源地址。

mangle表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK。注意MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链： PREROUTING，POSTROUTING， OUTPUT，INPUT和 FORWARD。PREROUTING在包进入防火墙之后、路由判断之前改变包，POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包。注意，mangle表不能做任何NAT，它只是改变数据包的 TTL，TOS或MARK，而不是其源目地址。NAT是在nat表中操作的。

filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、 LOG、ACCEPT和REJECT等操作。FORWARD 链过滤所有不是本地产生的并且目的地不是本地（所谓本地就是防火墙了）的包，而 INPUT恰恰针对那些目的地是本地的包。OUTPUT 是用来过滤所有本地生成的包的。