Iptables

图片引用 https://mp.weixin.qq.com/s/GTAGMy2t0FIIUhq6CpFgWw 🧩 一、iptables 五表详解 优先级顺序 raw > mangle > nat > filter > security 表名 用途 作用时机 优先级 常用规则 raw 关闭连接跟踪（conntrack） 最早阶段 ⭐最高 NOTRACK mangle 修改数据包（TTL、TOS、MARK等） 早期、中期、晚期都可插入 高 MARK, TTL, TOS nat 实现源地址或目标地址转换（NAT） PREROUTING / POSTROUTING / OUTPUT 中 SNAT, DNAT, MASQUERADE filter 数据包过滤（放行/丢弃） 处理末期 ⭐最常用 ACCEPT, DROP security 与 SELinux、AppArmor 结合的强制访问控制 最后阶段 低 配合 SELinux 使用 🔗 二、五链详解（对应五个 hook 点） 链名 描述 属于哪些表 PREROUTING 入站包一进内核就处理（在路由前） raw, mangle, nat INPUT 进入本机的包 mangle, filter, security FORWARD 转发到别处的包 mangle, filter, security OUTPUT 本机发出的包 raw, mangle, nat, filter, security POSTROUTING 所有出站包（包括转发）在离开前 mangle, nat, security 🚚 三、收发包流程图说明（图下方） 你贴的图，和 Netfilter 的真实流程图是基本一致的。下面我对照图帮你拆解下： ...