###
# man iptables 查看更多
# netfilter5个表与链的含义
# filter表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
# filter表,大概的意思就是 filter它就是一个默认的表,它包含了INPUT、FORWARD、OUTPUT三个内置的链
# INPUT链数据包进来的时候要经过的链,比如要把进来访问80端口的数据包检查一下它的源ip是什么,发现可以的ip要把它禁掉,这是INPUT
# FORWARD链数据包虽然到了自己的机器,但是它到不了内核,因为这个数据包是给另外一台机器处理的,所以它会判断目标地址是不是本机,如果不是本机可能要经过FORWARD这个链,那么就会做一些操作,比如更改目标地址或者转发
# OUTPUT链是在本机产生的一些包,出去之前要做的操作,比如一个包是发给2.2.2.2的,这个ip我要给它禁掉,不让这个包过去
# nat表用于网络地址转换,端口映射,有PREROUTING、OUTPUT、POSTROUTING三个链
# nat表有PREROUTING、OUTPUT、POSTROUTING三个链
# PREROUTING链用来更改数据包,在数据包进来的那一刻做更改
# OUTPUT链和filter表中的OUTPUT链是一个含义
# POSTROUTING链也是用来更改数据包,在数据包出去的那一刻做更改
# managle表用于给数据包做标记,几乎用不到
# raw表可以实现不追踪某些数据包,几乎用不到
# security表在centos6中并没有,用于强制访问控制(MAC)的网络规则,几乎用不到
###