"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

Таблица: mangle
Описание: Эта таблица используется для внесения изменений в заголовки
пакетов. Примером может служить изменение поля TTL, TOS или MARK. Важно: в
действительности поле MARK не изменяется, но в памяти ядра заводится
структура, которая сопровождает данный пакет все время его прохождения через
брандмауэр, так что другие правила и приложения на данном брандмауэре (и
только на данной брандмауэре) могут использовать это поле в своих целях.
Таблица имеет пять цепочек PREROUTING, POSTROUTING, INPUT, OUTPUT и FORWARD.
PREROUTING используется для внесения изменений на входе в брандмауэр, перед
принятием решения о маршрутизации. POSTROUTING используется для внесения
изменений на выходе из брандмауэра, после принятия решения о маршрутизации.
INPUT - для внесения изменений в пакеты перед тем как они будут переданы
локальному приложению внутри брандмауэра. OUTPUT - для внесения изменений в
пакеты, поступающие от приложений внутри брандмауэра. FORWARD - для внесения
изменений в транзитные пакеты после первого принятия решения о
ипршрутизации, но перед последним принятием решения о ипршрутизации. Замечу,
что таблица mangle ни в коем случае не должна использоваться для
преобразования сетевых адресов или маскарадинга (Network Address
Translation, Masquerading), поскольку для этих целей имеется таблица nat.

Таблица: filter
Описание: Таблица filter используется главным образом для фильтрации
пакетов. Для примера, здесь мы можем выполнить DROP, LOG, ACCEPT или REJECT
без каких либо ограничений, которые имеются в других таблицах. Имеется три
встроенных цепочки. Первая - FORWARD, используемая для фильтрации пакетов,
идущих транзитом через брандмауэр. Цепочку INPUT проходят пакеты, которые
предназначены локальным приложениям (брандмауэру). И цепочка OUTPUT -
используется для фильтрации исходящих пакетов, сгенерированных приложениями
на самом брандмауэре.

Выше мы рассмотрели основные отличия трех имеющихся таблиц. Каждая из
них должна использоваться только в своих целях, и вы должны это понимать.
Нецелевое использование таблиц может привести к ослаблению защиты
брандмауэра и сети, находящейся за ним. Позднее, в главе Порядок прохождения
таблиц и цепочек, мы подробнее остановимся на этом.

6.3. Команды

Ниже приводится список команд и правила их использования. Посредством
команд мы сообщаем iptables что мы предполагаем сделать. Обычно
предполагается одно из двух действий - добавление нового правила в цепочку
или удаление существующего правила из той или иной таблицы. Далее приведены
команды, которые используются в iptables.
Таблица 6-2. Команды
(Команда - Пример - Описание)

Команда: -A, -append
Пример: iptables -A INPUT ...
Описание: Добавляет новое правило в конец заданной цепочки.