**netfilter5表5鏈**
`netfilter是由Rusty Russell提出的Linux 2.4內核防火牆框架,該框架既簡潔又靈活,可實現安全策略應用中的許多功能,如數據包過濾、數據包處理、地址僞裝、透明代理、動態網絡地址轉換(Network Address Translation,NAT),以及基於用戶及媒體訪問控制(Media Access Control,MAC)地址的過濾和基於狀態的過濾、包速率限制等。`
`netfilter
5個表(filter、nat、mangle、raw、security)
5個鏈(prerouting、input、forward、output、 postrouting)`
filter表:默認的表,包含內置的鏈輸入(INPUT),轉發(FORWARD)[對於正在通過的數據包]和輸出(OUTPUT)[針對本地生成的包]NAT表:用於網絡地址轉換,有PREROUTING、OUTPUT、POSTROUTING三個鏈managle表:用於給數據包做標記raw表:可以實現不追蹤某些數據包security表:在C6中沒有,用於強制訪問控制(MAC)的網絡規則iptables傳輸數據包的過程
① 當一個數據包進入網卡時,它首先進入PREROUTING鏈,內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的,它就會沿着圖向下移動,到達INPUT鏈。數據包到了INPUT鏈後,任何進程都會收到它。本機上運行的程序可以發送數據包,這些數據包會經過OUTPUT鏈,然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的,且內核允許轉發,數據包就會如圖所示向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出。