[问题求助]求助:iptables不明白，请求帮助 [复制链接]

这几天在看IPTABLES，看官方文档说在nat表的p.rerouting和postrouting两个链里做过滤有时DROP也会通过.，为什么，不明白域名

原话贴上来，看看怎么说的？

因为这个包在prerouting和postrouting链之前已经被放过了!

你应该是说iptables指南这个文档中所说的吧，其它在这个文档的后面部分还有具体的说明：
7.2.10. PREROUTING链
顾名思义，PREROUTING链（nat表的）是在路由之前做网络地址转换工作的。然后，包再经过路由，就会被送到filter表的INPUT或FORWARD链。我们在这里讨论这个链的唯一原因是，我们 觉得有责任再次指出你不应该在此链中做任何过滤。PREROUTING链只会匹配流的第一个包，也就是说，这个流的所有其他的包都不会被此链检查。事实上，在这个脚本中，我们根本没有用到PREROUTING 链。如果你想对一些包做DNAT操作，例如，你把web server放在了局域网内，这里就是 你放置规则的地方。有关PREROUTING链的详细信息在章节表和 链中。

千万注意，PREROUTING链只能做网络地址转换，不能被用来做任何过滤，因为每个流只有 第一个包才会经过此链。

我还是想不通，按楼上说的，如果第一个包才会经过此链，

那如果第一个包被DROP掉，

还会建立连接吗

原文：nat table

This table should only be used for NAT (Network Address Translation) on different packets. In other words, it should only be used to translate the packet's source field or destination field. Note that, as we have said before, only the first packet in a stream will hit this chain. After this, the rest of the packets will automatically have the same action taken on them as the first packet.

那我停掉iptables后，也就是说，不在做nat,再启动iptables,是不是重新匹配规则，那第一个包过不去，后面的包是不是也过不去了

我觉得要知道包是怎么进来的，又是怎么出去的才能更好的理解。