Bảng NAT :
Bảng này chỉ nên được sử dụng cho NAT (Dịch địa chỉ mạng) trên các gói khác nhau. Nói cách khác, nó chỉ nên được sử dụng để dịch trường nguồn hoặc trường đích của gói.
Bảng lọc :
Bảng bộ lọc chủ yếu được sử dụng để lọc các gói. Chúng ta có thể ghép các gói và lọc chúng theo bất kỳ cách nào chúng ta muốn. Đây là nơi chúng tôi thực sự hành động chống lại các gói và xem xét những gì chúng chứa và DROP hoặc / CHẤP NHẬN chúng, tùy thuộc vào nội dung của chúng. Tất nhiên chúng tôi cũng có thể lọc trước; tuy nhiên, bảng đặc biệt này là nơi lọc được thiết kế.
Trong Traversing của bảng và chuỗi, chúng ta có thể thấy chuỗi FORWARD của bộ lọc chỉ được truyền qua các gói được chuyển tiếp (các gói đến từ mạng VÀ đi ra mạng), tức là máy tính của bạn hoạt động như một bộ định tuyến, trong khi chuỗi PREROUTING của cả hai được chuyển tiếp gói và gói có đích là máy chủ cục bộ.
Bạn chỉ nên sử dụng PREROUTING của nat để thay đổi địa chỉ đích của các gói và chỉ FORWARD của bộ lọc để lọc (bỏ / chấp nhận gói).
Nếu chúng ta nhận được một gói vào quyết định định tuyến đầu tiên không dành cho chính máy cục bộ, nó sẽ được định tuyến thông qua chuỗi FORWARD. Mặt khác, nếu gói tin được dành cho một địa chỉ IP mà máy cục bộ đang nghe, chúng tôi sẽ gửi gói thông qua chuỗi INPUT và đến máy cục bộ.
Các gói có thể được định sẵn cho máy cục bộ, nhưng địa chỉ đích có thể được thay đổi trong chuỗi PREROUTING bằng cách thực hiện NAT. Vì việc này diễn ra trước quyết định định tuyến đầu tiên, gói sẽ được xem xét sau khi thay đổi này. Do đó, việc định tuyến có thể được thay đổi trước khi quyết định định tuyến được thực hiện. Xin lưu ý rằng tất cả các gói sẽ đi qua một hoặc đường dẫn khác trong hình ảnh này. Nếu bạn DNAT một gói trở lại cùng một mạng mà nó đến từ đó, nó sẽ vẫn đi qua các chuỗi còn lại cho đến khi nó quay trở lại trên mạng.