简单说一下五个链的作用:
PREROUTING 是在包进入防火墙之后、路由决策之前做处理
POSTROUTING 是在路由决策之后,做处理
INPUT 在包被路由到本地之后,但在出去用户控件之前做处理
OUTPUT在去顶包的目的之前做处理
FORWARD在最初的路由决策之后,做转发处理
四、匹配条件
4.1 基本匹配
4.2 隐含扩展匹配
这种匹配操作是自动的或隐含的装入内核的。例如使用-p tcp时,不需要再装入任何东西就可以匹配只有IP包才有的特点。隐含匹配针对三种不同的协议,即TCP UDP ICMP。它们分别有一套适用于相应协议的判断标准
TCP匹配 只能匹配TCP包的细节,必须有-p tcp作为前提
--sport port 基于TCP包的源端口来匹配包
--dport port 基于TCP包的目的端口来匹配包
--tcp-flags tcp标志位 有两个参数列表。第一个是指定要检查的标识位;第二个是指定为1的标识位
UDP匹配
--sprot port
--dport port
ICMP匹配
--icmp-type
8 request 请求
0 reply 回复 响应