netfilter5表5鏈

**netfilter5表5鏈**

`netfilter是由Rusty Russell提出的Linux 2.4內核防火牆框架，該框架既簡潔又靈活，可實現安全策略應用中的許多功能，如數據包過濾、數據包處理、地址假裝、透明代理、動態網絡地址轉換（Network Address Translation，NAT），以及基於用戶及媒體訪問控制（Media Access Control，MAC）地址的過濾和基於狀態的過濾、包速率限制等。`           

`netfilter
             5個表（filter、nat、mangle、raw、security）
             5個鏈（prerouting、input、forward、output、 postrouting）

`

filter表：默認的表，包含內置的鏈輸入（INPUT），轉發（FORWARD）[對於正在經過的數據包]和輸出（OUTPUT）[針對本地生成的包]

NAT表：用於網絡地址轉換，有PREROUTING、OUTPUT、POSTROUTING三個鏈

managle表：用於給數據包作標記

raw表：能夠實現不追蹤某些數據包

security表：在C6中沒有，用於強制訪問控制（MAC）的網絡規則

iptables傳輸數據包的過程
① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否須要轉送出去。 
② 若是數據包就是進入本機的，它就會沿着圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序能夠發送數據包，這些數據包會通過OUTPUT鏈，而後到達POSTROUTING鏈輸出。 
③ 若是數據包是要轉發出去的，且內核容許轉發，數據包就會如圖所示向右移動，通過FORWARD鏈，而後到達POSTROUTING鏈輸出。