本文共 301 字，大约阅读时间需要 1 分钟。

1、不要在nat表的PREROUTING链上面做过滤操作，因为某些情况下包会溜过去。也不要在mangle表的OUTPUT链做过滤，可能有副作用。不要在nat表的POSTROUTING链上面做过滤，因为有副作用，而且，有些包是会溜过去的，即使你用了DROP策略。

2、包要经历很多步骤，而且它们可以被阻拦在任何一条链上，或者是任何有问题的地方。所有要经防火墙/路由器转发的包都要经过FORWARD链。

3、不要在INPUT链上做过滤，它是专门用来操作那些以我们的机子为目的地址的包的，它们不会被路由到其它地方的。

4、不要在mangle表里面做任何过滤，不管是DNAT、SNAT或者Masquerade。

转载地址：http://ukpgi.baihongyu.com/