以本地为目标的包 

进入接口->mangle--PREROUTING(用来mangle数据包如改变TOS)
        ->nat--PREROUTING(用于做DNAT)
->路由判断
        ->mangle--INPUT
        ->filter--INPUT
->送达程序

以本地为源的包

地本程序->路由判断
        ->mangle--OUTPUT
        ->nat--OUTPUT
        ->filter--OUTPUT
        ->mangle--POSTROUTING
        ->nat--POSTROUTING

被转发的包

进入接口->mangle--PREROUTING
        ->nat--PREROUTING
->路由判断
        ->mangle--FORWARD
        ->filter--FORWARD
        ->mangle--POSTROUTING
->离开接口

常用命令 

iptables-save [-c] [-t table]

参数-c的作用是保存包和字节计数器的值。这可以使我们在重启防火墙后不丢失对包和字节的统计。带-c参数的iptables-save命令使重启防火墙而不中断统计记数程序成为可能。这个参数默认是不使用的。

参数-t指定要保存的表，默认是保存所有的表。
iptables-save -c >/root/iptables-backup

iptables-restore [-c] [-n]

参数-c要求装入包和字节计数器。如果你用iptables-save保存了计数器，现在想重新装入，就必须用这个参数。它的另一种较长的形式是--counters。

参数-n告诉iptables-restore不要覆盖已有的表或表内的规则。默认情况是清除所有已存的规则。这个参数的长形式是--noflush。

iptables-restore <back


iptables [-t table] command [match] [target/jump]

表包括nat mangle filter

命令包括
-A, --append
iptables -A INPUT ...
-D, --delete
iptables -D INPUT --dport 80 -j DROP或iptables -D INPUT 1
-R, --replace
iptables -R INPUT 1 -s 192.168.0.1 -j DROP
-I, --insert
iptables -I INPUT 1 --dport 80 -j ACCEPT
-L, --list
iptables -L INPUT
-F, --flush
iptables -F INPUT
-Z, --zero  把指定链（如未指定，则认为是所有链）的所有计数器归零。
iptables -Z INPUT
-N, --new-chain
iptables -N allowed
-X, --delete-chain
iptables -X allowed
-P, --policy
iptables -P INPUT DROP
-E, --rename-chain
iptables -E allowed disallowed