iptables 语法及其重点概念

iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作> 注：语法比较详细，推荐记忆

INPUT链：当一个数据包由内核中的路由计算确定为本地Linux系统后,它会通过INPUT链的检 查。             
OUTPUT链：保留给系统自身生成的数据包。
FORWARD链：经过Linux系统路由的数据包(即当iptables防火墙用于连接 两个网络,两个网络之间的数据包必须流经该防火墙)。
PREROUTING链：用于修改目的地地址(D)。
POSTROUTING链：用于修改源地址     (SNAT)。

※转发和NAT的语义 在iptables是独立的。转发数据包的是在filter表中通过使用FORWARD规则链来完成；而NAT是在nat通过使用 PREROUTING、POSTROUTING规则链来完成。混淆这二个概念对它们的功能并没有影响，但现在记住它们的区别是很重要的。转发和NAT是二 个不同的功能和技术；转发是一个路由功能，而NAT是在nat表中定义的一个转换功能。