1.方式简单粗暴:包头信息过滤,修改,重定向
2.各表->链->规则中从上到下,从前到后匹配。一旦匹配,停止向下继续匹配
3.默认规则是在所有自定义的规则未生效时才会执行
4.filter表是常用表,也是默认表
5.最先对数据包作用的是raw表的PREROUTING链,优先过滤掉状态不对的数据包选手
6.最后生效的是nat表的POSTROUTING,也就是说从主机离开的数据包将要到达的真正目的地址
7.不同表中同名链,但并不是同一个东西,这么设计对初学者或者浅学者很不友好
8.执行顺序中一共有三处需要路由决策,PREROUTING链,INPUT和OUTPUT链检测结束时
9.nat表的应用场景更多是网关防火墙上,如静态地址映射,端口转发,共享上网等等
10.filter表更多是应用在主机防火墙上,判断是否有不合规矩的数据包进入主机内部
11.路由跳数的修改是在iptables的mangle表中完成的
12.mangle表也可以实现等级服务,说白了就是Qos
13.动作包括:ACCEPT,DROP,REDIRECT,SNAT,DNAT,MASQUERYDE(IP伪装),LOG
14.iptables操作和生效的前提是需要加载相应的内核抹模块mod
15.习惯性的-A 是在链尾追加规则,有可能永远也匹配不到
16.删除规则可以精确匹配删除,可以按照行号删除,也可以一次性全部清空-F
17.对tcp 协议多个端口进行匹配,端口之间用,号分割
18.每一个链的默认规则是可以修改的,例如全通或者是全不通,参数是-P
19.-i 是指定入口网卡,-o 是指定出口网卡
20.规则不仅可以正向匹配,也可以取反,!
21.自定义链是为了更有条理更精确的管理某一类规则
22.删除自定义链时需要 -X 参数