mangle 包重构 PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING 修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记
raw 数据跟踪处理 PREROUTING、OUTPUT 决定数据包是否被状态跟踪机制处理。
优先级:raw > mangle > nat > filter
3. 五链
1 2 3 4 5
input 匹配目标IP是本机的数据包 output 出口数据包 , 一般不在此链上做配置 forward 匹配流经本机的数据包 prerouting 修改目的地址,用来做 DNAT 。如:把内网中的 80 端口映射到互联网端口 postrouting 修改源地址,用来做 SNAT。如:局域网共享一个公网 IP 接入 Internet
4. 数据包的四种状态
1 2 3 4
NEW 该包想要开始一个连接(重新连接或将连接重定向) RELATED 该包是属于某个已经建立的连接所建立的新连接 ESTABLISHED 一个数据连接从 NEW 变为 ESTABLISHED,表示连接建立成功,会继续匹配这个连接的后续数据包 INVALID 数据包不能被识别属于哪个连接或没有任何状态比如内存溢出,收到不知属于哪个连接的ICMP错误信息,一般应该DROP这个状态的任何数据
