iptables 里INPUT、OUTPUT、FORWARD 三个链(Chain)详解

iptables 里,INPUTOUTPUTFORWARD 是最核心的三个链(Chain) ,它们定义了数据包在本机处理过程中的三个关键路径。下面我会通俗地解释它们的含义和作用:


🔁 总体概念:什么是链(Chain)?

iptables 把数据包的处理过程分为多个"链",每条链就是一组规则,规则之间按顺序匹配。三大最常用的链如下:

链名称 作用方向 数据包路径
INPUT 进入本机 外部数据包 → 本地程序
OUTPUT 从本机发出 本地程序 → 外部网络
FORWARD 本机转发(不处理) 外部设备 → 外部设备(经由本机)

📥 1. INPUT 链

作用:控制访问本机的网络流量

  • 只要是别人访问你(比如你开了一个 web 服务,别人访问你的 80 端口),就会经过 INPUT 链。

  • 适用于:SSH、HTTP、HTTPS、Ping 等所有入站连接

示例:

bash 复制代码
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许其他主机访问本机的 22 端口(SSH)。


📤 2. OUTPUT 链

作用:控制本机发出的流量

  • 当你在本机执行 curl、ping、apt-get、wget、ssh 等命令时,这些"出站"请求都会经过 OUTPUT 链。

示例:

bash 复制代码
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

允许本机访问外部 HTTP(80 端口)网站。


🔀 3. FORWARD 链

作用:控制"路由转发"流量(本机作为中转,不是源也不是目的)

  • 本机如果做了网关、路由器、NAT、VPN、Docker 桥接等转发行为,就会用到 FORWARD 链。

  • 比如一个包从网卡 eth0 进来,经由本机,从网卡 eth1 转出去,就会用到 FORWARD 链。

示例:

bash 复制代码
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.0/24 -j ACCEPT

允许本机转发来自 192.168.1.* 到 10.0.0.* 的流量。


🧠 总结对比

链名称 流量方向 是否发给本机 是否来自本机 示例
INPUT 入站流量 ✅ 是 ❌ 否 别人访问你
OUTPUT 出站流量 ❌ 否 ✅ 是 你访问别人
FORWARD 转发流量 ❌ 否 ❌ 否 本机充当中转(如路由器)
相关推荐
menge23332 小时前
OSPF知识点整理
网络·智能路由器
希赛网10 小时前
希赛《华为 HCIA-Datacom 》核心考点之 NAT 技术解析
运维·服务器·网络·计算机网络·智能路由器·华为认证
黄沐阳15 小时前
AP配置(leaderAP组网模式)
运维·网络·智能路由器
Lgnazio15 小时前
OSPF 知识点总结
网络·智能路由器
邮科工业交换机定制1 天前
区分邮科工业交换机与路由器
网络·智能路由器
Yama1172 天前
IPSEC 之单臂部署
网络·智能路由器
scd02082 天前
ospf笔记和 综合实验册
网络·智能路由器·hcip
limnade2 天前
falsk windows 服务器部署-解决服务器外无法访问
服务器·windows·flask·智能路由器
千码君20162 天前
计算机网络:理解路由的下一跳
网络·计算机网络·智能路由器·路由表·网关地址·接口地址·相邻设备