iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时，都可以使用iptables进行控制。

iptables中的“四表五链”

A.“四表”是指，iptables的功能——filter,nat,mangle,raw.

filter,控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input,forward,output

nat,控制数据包中地址转换，可以控制的链路有prerouting,input,output,postrouting

mangle,修改数据包中的原数据，可以控制的链路有prerouting,input,forward,output,postrouting

raw,控制nat表中连接追踪机制的启用状况，可以控制的链路有prerouting,output

注：在centos7中，还有security表，不过这里不作介绍

B.“五链”是指内核中控制网络的NetFilter定义的五个规则链，分别为

PREROUTING,路由前

INPUT,数据包流入口

FORWARD,转发管卡

OUTPUT,数据包出口

POSTROUTING,路由后