这里不得不把鸟哥的一幅图贴在这里，对于那些想知其所以然的朋友来说，你可以大致浏览以下本文，再　来看这幅图和我配的文字，希望可以帮助你理解iptables．相信很多朋友和我一样，是要建一个ip分享器（局域网用来共享上网）才来学习iptables的，所以我的思路是首先能够使内网机器访问外部网络，然后再考虑复杂的安全设置，这样大家做起来少一些挫败感，而且更加有动力．

　　硬件准备：局域网中的一台电脑，配备两个网卡，具备使用外网的条件，可以是ADSL, 或者乙太网，ip可以是dhcp或者固定ip．以我们实验室为例，外网固定ip。

　　首先设置服务器（ip分享器）的地址和路由，不会做上述设置的朋友可以去网上查一下．比如鸟哥的私房菜。其实只要设置/etc/network/interfaces文件就行了，然后使用 /etc/init.d/networking restart 重启网络。也不要忘记在/etc/resolv.conf中添加或修改nameserver字段。接下来就是iptables的设置，首先就是使主机有ip伪装的功能，其次就是防火墙的功能。

       我们看图，和网内机器上网有关的链是filter表的forward链，以及nat表的POSTROUTING链．所以iptables可以设置如下

iptables 指令
语法：
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。
个规则表的功能如下：

nat 此规则表拥有 Prerouting 和 postrouting 两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（SNAT
DNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的
率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一
包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。

总览
用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改

iptables - [RI] chain rule num rule-specification[option]
用iptables - RI 通过规则的顺序指定

iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]

iptables -[NX] chain
用 -NX 指定链