iptables 防火牆爲何不佔用端口？

• 或許題目更準確的表述是：Linux 下 iptables 在作端口轉發時爲啥不佔用端口？
• 由於不佔用端口，因此不能用 netstat 命令查看。
• iptables 表、鏈、規則圖（默認filter表）
  
• OSI模型與TCP/IP模型
  
• iptables 工做在 OSI 模型的2/3/4層，作端口轉發時，只須要查看和轉換運輸層的端口號，並不須要佔用。如下摘自《計算機網絡（第5版）》（謝希仁）175頁。

  應當指出，從層次的角度看，NAPT 的機制有些特殊。
  普通路由器在轉發 IP 數據報時，對於源 IP 地址或目的 IP 地址都是不改變的。但 NAT 路由器在轉發 IP 數據報時，必定要更換其 IP 地址（轉換源 IP 地址或目的 IP 地址）。
  其次，普通路由器在轉發分組是，是工做在網絡層。但 NAPT 路由器還要查看和轉換運輸層的端口號，而這原本應當屬於運輸層的範疇。也正由於這樣，NAPT 曾遭受一些人的批評，認爲 NAPT 的操做沒有嚴格按照層次的關係。

【相關閱讀】

• 端口轉發（Linux/Windows）
• iptables tips

*** walker 的流水帳 ***