三、chains

      簡(jiǎn)單說(shuō)一下五個(gè)鏈的作用：

      PREROUTING 是在包進(jìn)入防火墻之后、路由決策之前做處理

      POSTROUTING 是在路由決策之后，做處理

      INPUT  在包被路由到本地之后，但在出去用戶控件之前做處理

      OUTPUT在去頂包的目的之前做處理

      FORWARD在最初的路由決策之后，做轉(zhuǎn)發(fā)處理

      四、匹配條件

      4.1 基本匹配

      4.2 隱含擴(kuò)展匹配

      這種匹配操作是自動(dòng)的或隱含的裝入內(nèi)核的。例如使用-p tcp時(shí)，不需要再裝入任何東西就可以匹配只有IP包才有的特點(diǎn)。隱含匹配針對(duì)三種不同的協(xié)議，即TCP   UDP ICMP。它們分別有一套適用于相應(yīng)協(xié)議的判斷標(biāo)準(zhǔn)

      TCP匹配 只能匹配TCP包的細(xì)節(jié)，必須有-p tcp作為前提

      --sport port   基于TCP包的源端口來(lái)匹配包

      --dport port   基于TCP包的目的端口來(lái)匹配包

      --tcp-flags tcp標(biāo)志位    有兩個(gè)參數(shù)列表。第一個(gè)是指定要檢查的標(biāo)識(shí)位；第二個(gè)是指定為1的標(biāo)識(shí)位

      UDP匹配

      --sprot port

      --dport  port

      ICMP匹配

      --icmp-type

      8 request 請(qǐng)求

      0 reply  回復(fù) 響應(yīng)