iptables 广播转发 iptables转发规则

iptables包的转发过程：iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中，详细地来讲iptables包在转发时是怎样被送出呢？本文介绍的是iptables的基础知识-iptables包的转发过程。

iptables包的转发过程：包在IPTABLES中如何走?

当一个包进入或者送出或者被转发的时候，是依据什么呢?都会经过哪些表和哪些链呢?

iptabeles中内建有三个表，分别为MANGLE,NAT,FILTER，当为未指定规则表时，则默认为filter表，若要将rule加到其他表中，则要用-t来指明。

其中有个表叫mangle，这个词难以表达，我只能把我理解的写出来。意思就是，会对数据包的一些传输特性进行修改，在mangle表中允许的操作是TOS、TTL、MARK。也就是说，今后只要我们见到这个词能理解它的作用就行了。

强烈建议你不要在这个表里做任何过滤，不管是DANT，SNAT或者Masquerade。

Nat表就是地址转换了,可以做DNAT，SNAT，可做一对一，一对多，多对对转换，该表有Prerouting和 postrouting两条规则链。DNAT操作主要用在这样一种情况，你有一个合法的IP地址，要把对防火墙的访问重定向到其他的机子上(比如DMZ)。也就是说，我们改变的是目的地址，以使包能重路由到某台主机。SNAT改变包的源地址，这在极大程度上可以隐藏你的本地网络或者DMZ等。一个很好的例子是我们知道防火墙的外部地址，但必须用这个地址替换本地网络地址。有了这个操作，防火墙就能自动地对包做SNAT和De-SNAT(就是反向的SNAT),以使LAN能连接到Internet。如果使用类似192.168.0.0/24这样的地址，是不会从Internet得到任何回应的。因为IANA定义这些网络(还有其他的)为私有的，只能用于LAN内部。MASQUERADE的作用和SNAT完全一样，只是计算机的负荷稍微多一点。因为对每个匹配的包，MASQUERADE都要查找可用的IP地址，而不象SNAT用的IP地址是配置好的。当然，这也有好处，就是我们可以使用通过PPP、PPPOE、SLIP等拨号得到的地址，这些地址可是由ISP的DHCP随机分配的

Filter表就是我们最常用的了,iptables包过滤就靠这个了，系统默认建有三个链，INPUT，OUTPUT还有FORWARD，这个表用来进行封包过滤的处理(如：DROP，ACCEPT，LOG，REJECT，ULOG等)，基本规则都建在这个表中。

注：所谓的链就是规则的集合，也可以自定义链

当数据包到达防火墙时，如果MAC地址符合，就会由内核里相应的驱动程序接收，然后会经过一系列操作，从而决定是发送给本地的程序，还是转发给其他机子，还是其他的什么。

以本地为目标的iptables包(就是我们自己的机子了)

Step(步骤) Table(表) Chain(链) Comment(注释)

1在线路上传输(比如，Internet)

2进入接口 (比如，eth0)

3 Mangle PREROUTING这个链用来mangle数据包，比如改变TOS等

4 Nat PREROUTING这个链主要用来做DNAT。不要在这个链做过虑操作，因为某些情况下包会溜过去。

5路由判断，比如，iptables包是发往本地的，还是要转发的。

6 Mangle INPUT在路由之后，被送往本地程序之前，mangle数据包。

7 Filter INPUT所有以本地为目的的iptables包都要经过这个链，不管它们从哪儿来，对这些iptables包的过滤条件就设在这里。

8到达本地程序了(比如，服务程序或客户程序)

现在我们来看看源地址是本地器的包要经过哪些步骤：

以本地为源的iptables包

Step Table Chain Comment

1本地程序(比如，服务程序或客户程序)

2路由判断，要使用源地址，外出接口，还有其他一些信息。

3 mangle OUTPUT在这儿可以mangle包。建议不要在这儿做过滤，可能有副作用哦。

4 nat OUTPUT这个链对从防火墙本身发出的包进行DNAT操作。

5 filter OUTPUT对本地发出的iptables包过滤。

6 mangle POSTROUTING这条链主要在包DNAT之后(译者注：作者把这一次DNAT称作实际的路由，虽然在前面有一次路由。对于本地的包，一旦它被生成，就必须经过路由代码的处理，但这个包具体到哪儿去，要由NAT代码处理之后才能确定。所以把这称作实际的路由。)，离开本地之前，对iptables包 mangle。有两种包会经过这里，防火墙所在机子本身产生的包，还有被转发的包。

7 nat POSTROUTING在这里做SNAT。但不要在这里做过滤，因为有副作用，而且有些iptables包是会溜过去的，即使你用了DROP策略。

8离开接口(比如： eth0)

9在线路上传输(比如，Internet)

在这个表中有个要注意的地方，从本机发出的包，要经过NAT中的OUTPUT。

在这个例子中，我们假设一个iptables包的目的是另一个网络中的一台机子。让我们来看看这个iptables包的旅程：

转发iptables包

Step Table Chain Comment

1在线路上传输(比如，Internet)

2进入接口(比如， eth0)

3 mangle PREROUTING mangle数据包，，比如改变TOS等。

4 nat PREROUTING这个链主要用来做DNAT。不要在这个链做过虑操作，因为某些情况下包会溜过去。稍后会做SNAT。

5路由判断，比如，包是发往本地的，还是要转发的。

6 mangle FORWARD包继续被发送至mangle表的FORWARD链，这是非常特殊的情况才会用到的。在这里，包被mangle(还记得mangle的意思吗)。这次mangle发生在最初的路由判断之后，在最后一次更改包的目的之前(译者注：就是下面的FORWARD链所做的，因其过滤功能，可能会改变一些包的目的地，如丢弃包)。

7 filter FORWARD包继续被发送至这条FORWARD链。只有需要转发的包才会走到这里，并且针对这些包的所有过滤也在这里进行。注意，所有要转发的包都要经过这里，不管是外网到内网的还是内网到外网的。在你自己书写规则时，要考虑到这一点。

8 mangle POSTROUTING这个链也是针对一些特殊类型的包(译者注：参考第6步，我们可以发现，在转发包时，mangle表的两个链都用在特殊的应用上)。这一步mangle是在所有更改包的目的地址的操作完成之后做的，但这时包还在本地上。

9 nat POSTROUTING这个链就是用来做SNAT的，当然也包括Masquerade(伪装)。但不要在这儿做过滤，因为某些包即使不满足条件也会通过。

10离开接口(比如： eth0)

11又在线路上传输了(比如，LAN)

就如你所见的，包要经历很多步骤，而且它们可以被阻拦在任何一条链上，或者是任何有问题的地方。所有要经防火墙转发的包都要经过FORWARD链。

由上边的表格和图可以看出，iptables处理包的流动，分述如下：

INPUT：只有要到本机的封包才会由 INPUT处理，所以会让來自內部网络的封包无条件放行，而来自外部的封包則过滤，是否为回应包，若是則放行。

PREROUTING：需要转送处理的封包由此处理，用来做目的地 IP的翻译(DNAT)。

FORWARD：源IP和目的IP都不是本机的，就要被转发，所有要转发的封包都在这里处理，这部分的过滤规则最为复杂。

POSTROUTING：转发封包送出之前，先同过这个来进行源IP的翻译(SNAT)。

OUTPUT：从本机发送出去的包都有此处理，通常放行所有封包。

从上边看得出，对于iptables来说，是依据IP地址进行决策，也就是说包中的IP地址决定一个包的流向。

进入FORWRAD的一定不会进入到INPUT和OUTPUT。

在处理过程中如果符合某条规则将会进行处理，处理动作除有ACCEPT、REJECT、DROP、REDIRECT和 MASQUERADE 外还有LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK等。

我们可以使用< iptables save file >将结果保存到指定文件中，然后用< iptables restore file > 将指定文件的内容加载，或者写成脚本，然后执行脚本就可以了。我推荐使用脚本，因为可以使用shell编程，从而写出强大，灵活的脚本来。iptables包的转发过程就讲到这里啦。