如何使用iptables(二)

时间：2010-07-18 来源：GFree_Wind

从这开始真正进行iptables的配置的学习了。

四、目标和跳转

target	Description	Most Common Options
ACCEPT	iptables停止进一步处理这个包的处理完毕并传给终端程序或者操作系统	N/A
DROP	iptables停止进一步处理这个包被丢弃（阻塞）	N/A
LOG	这个包的信息被发送给 syslogd进行日志记录 iptables继续处理，开始判断下一条规则因为不能同时又记日志又丢弃包，所以经常需要有两条相似的规则。第一条负责记日志，第二条丢弃包	--log-prefix “string“ 告诉iptables所有的日志消息要以用户自定义的字符串开头。经常用于记录包被丢弃的原因。
REJECT	与DROP类似，但是会返回一个错误消息给发送这个被阻塞消息的主机	--reject-with qualifier 这个qualiifier告诉返回哪种拒绝消息，包括 icmp-port-unreachable (default) icmp-net-unreachable icmp-host-unreachable icmp-proto-unreachable icmp-net-prohibited icmp-host-prohibited tcp-reset echo-reply
DNAT	用于目的地址转换DNAT。重写包的目的地址	--to-destination ipaddress 告诉iptable使用哪个目的地址
SNAT	用于源地址转换SNAT，重写包的源地址源地址由用户定义	--to-source <address>[-<address>][:<port>-<port>] 指定SNAT使用的源地址和端口号
MASQUERADE	用于做源地址转换SNAT 默认情况下源地址与防火墙使用的网卡地址相同	--to-ports <port>[-<port>] 指定源端口可以被映射的端口范围