表
    
    表是iptables构建块,它描述其功能的大类,如包过滤或网络地址转换(NAT)。iptables中共有四个表:filter、nat、mangle、raw。过滤规则应用于filter表,NAT规则应用于nat表,用于修改分组数据的特定规则应用于mangle表,而独立于netfilter连接跟踪子系统起作用的规则应用于raw表。

    链

    每个表都有自己的一组内置链,用户还可以对链进行自定义,这样用户就建立了一给规则,它们都关联到一个共同的标签如INPUT_ESTABLISHED或DMZ_NETWORK。其中最重要的内置链是filter表中的INPUT、OUTPUT和FORWARD链。

    1、当一个数据包由内核中的路由计算确定为指向本地Linux系统(即该数据包指向一个本地套接字)之后,它将经过INPUT链的检查。

    2、OUTPUT链保留给由Linux系统自身生成的数据包。

    3、FORWARD链管理经过Linux系统路由的数据包(即当iptables防火墙用于连接两个网络,并且两个网络之间的数据包必须经过该防火墙)。

    另外两个对于关键iptables部署很重要的链是nat表中的PREROUTING和POSTROUTING链,它们分别用于在内核进行IP路由计算之前和之后修改数据包的头部。