iptables数据包流向

文章由LinuxBoy分享于2019-03-24 10:03:50热评（125）

iptables数据包流向

以本地为目的的包数据包 ----> mangle prerouting -------> nat prerouting -------> mangle input -------> filter input

以本地为源的包数据包 -------> mangle output -------> nat output -------> filter output -------> mangle postrouting -------> nat postrouting

www.2cto.com

经过本地转发的包数据包 -------> mangle prerouting -------> nat prerouting -------> mangle forward -------> filter forward -------> mangle postrouting -------> nat postrouting

drop 和 reject 区别在与 drop 直接丢弃数据包，reject 在丢弃的数据包的同时给发送者一个错误提示

www.2cto.com

mangle 表主要用来改变数据包的特性，如TOS,TTL等

nat 表主要用来地址转换，

filter 表主要用来过滤感兴趣的数据包

连接状态，state

可以用-m state --state NEW,ESTABLISHED,RELATED,INVALID 来控制

NEW 表示新发出一个包

ESTABLISHED 表示回应的包

RELATED 表示除主连接以外的连接，比如FTP-data,

INVALID 表示没有连接状态或者不能识别的连接状态，一般丢弃

推荐文章：

iptables数据包流向