Iptables

path

Цепочка PREROUTING

Таблица raw

Таблица mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например, для изменения битов TOS и прочих.

Таблица nat - эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях.

Цепочка INPUT

Таблица mangle - здесь вносятся изменения в заголовок пакета перед тем как он будет передан локальному приложению.

Таблица filter - здесь происходит фильтрация входящего трафика. Помните, что все входящие пакеты , адресованные нам, проходят через эту цепочку, независимо от того с какого интерфейса они поступили.

Цепочка FORWARD

Таблица mangle - далее пакет попадает в цепочку FORWARD таблицы mangle (искажать), которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации.

Таблица filter - в цепочку FORWARD попадают только те пакеты, которые идут на другой хост. Вся фильтрация транзитного трафика должна выполняться здесь. Через эту цепочку проходит трафик в обоих направлениях, обязательно учитывайте это обстоятельство при написании правил фильтрации.

Цепочка OUTPUT

Таблица raw

Таблица mangle - здесь вносятся изменения в заголовок пакета. Выполнение фильтрации в этй цепочке может иметь негативные последствия.

Таблица nat - эта цепочка используется для трансляции сетевых адресов (NAT) пакетах.

Таблица filter - здесь фильтруется исходящий трафик.

Цепочка POSTROUTING

Таблица mangle - цепочка POSTROUTING таблицы mangle в основном используется для правил, которые должны вносить изменения в заголовок пакета перед тем, как он покинет брандмауэр, но уже после принятия решения о маршрутизации. В эту цепочку попадают все пакеты, как транзитные, так и созданные локальными процессами.

Таблица nat - здесь выполняется Source Network Address Translation. Не следует в этой цепочке производить фильтрацию пакетов во избежание нежелательных побочных эффектов. Однако и здесь можно останавливать пакеты, применяя политику по умолчанию DROP.

Далее

Блокировать входящий трафик
Книга по iptables