iptables 里INPUT、OUTPUT、FORWARD 三个链(Chain)详解

iptables 里,INPUTOUTPUTFORWARD 是最核心的三个链(Chain) ,它们定义了数据包在本机处理过程中的三个关键路径。下面我会通俗地解释它们的含义和作用:


🔁 总体概念:什么是链(Chain)?

iptables 把数据包的处理过程分为多个"链",每条链就是一组规则,规则之间按顺序匹配。三大最常用的链如下:

链名称 作用方向 数据包路径
INPUT 进入本机 外部数据包 → 本地程序
OUTPUT 从本机发出 本地程序 → 外部网络
FORWARD 本机转发(不处理) 外部设备 → 外部设备(经由本机)

📥 1. INPUT 链

作用:控制访问本机的网络流量

  • 只要是别人访问你(比如你开了一个 web 服务,别人访问你的 80 端口),就会经过 INPUT 链。

  • 适用于:SSH、HTTP、HTTPS、Ping 等所有入站连接

示例:

bash 复制代码
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许其他主机访问本机的 22 端口(SSH)。


📤 2. OUTPUT 链

作用:控制本机发出的流量

  • 当你在本机执行 curl、ping、apt-get、wget、ssh 等命令时,这些"出站"请求都会经过 OUTPUT 链。

示例:

bash 复制代码
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

允许本机访问外部 HTTP(80 端口)网站。


🔀 3. FORWARD 链

作用:控制"路由转发"流量(本机作为中转,不是源也不是目的)

  • 本机如果做了网关、路由器、NAT、VPN、Docker 桥接等转发行为,就会用到 FORWARD 链。

  • 比如一个包从网卡 eth0 进来,经由本机,从网卡 eth1 转出去,就会用到 FORWARD 链。

示例:

bash 复制代码
iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.0/24 -j ACCEPT

允许本机转发来自 192.168.1.* 到 10.0.0.* 的流量。


🧠 总结对比

链名称 流量方向 是否发给本机 是否来自本机 示例
INPUT 入站流量 ✅ 是 ❌ 否 别人访问你
OUTPUT 出站流量 ❌ 否 ✅ 是 你访问别人
FORWARD 转发流量 ❌ 否 ❌ 否 本机充当中转(如路由器)
相关推荐
wuyang-ligerj1 天前
BGP路由协议(一):基本概念
运维·网络·网络协议·智能路由器
wuyang-ligerj2 天前
路由基础(二):路由表和FIB表
运维·网络·网络协议·智能路由器
wuyang-ligerj2 天前
OSPF协议(三)
运维·网络·网络协议·智能路由器
博睿谷IT99_4 天前
OSPF 的工作过程、Router ID 机制、报文结构
开发语言·网络·华为·智能路由器·网络工程师·华为认证·数据通信
2301_801673015 天前
实验二 Cisco IOS Site-to-Site Pre-share Key
网络·智能路由器
熬夜苦读学习7 天前
Reactor 反应堆模式
运维·服务器·网络·网络协议·http·智能路由器·php
qq_411262428 天前
为什么会“偶发 539/500 与建连失败”
服务器·c语言·网络·智能路由器
当你需要个夏天2179 天前
软考网工选择题节选-2
网络·智能路由器·软考网工·软考网工选择题
花开盛夏^.^9 天前
公有地址和私有地址
网络·智能路由器
zzc9219 天前
根据Wireshark捕获数据包时间和长度绘制路由器发送给电脑数据的信号波形
网络·wireshark·智能路由器·网卡·packets·信号波形·192.168.1.103