iptables保存语法

Question

我的目标是自动化我的iptables配置，所以在分析我当前在本地框上设置iptables规则以供参考的同时，我在使用iptables-save > ./iptables.save; cat ./iptables.save时得到以下信息

# Generated by iptables-save v1.4.21 on Fri Aug 14 14:33:13 2015
*nat
:PREROUTING ACCEPT [32:10397]
:DOCKER - [0:0]
...<SNIP>...
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
...

:DOCKER - [0:0]的意义是什么？-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER的意义是什么？

Answer 1

我不太清楚你在问什么，但有个尝试。

DOCKER是链的名称(在nat表中)。:DOCKER - [0:0]只是iptables-save用来表示存在用户定义链的语法。有三个领域：

:<NAME> <DEFAULT_POLICY> [<PACKET_COUNT>:<BYTE_COUNT>]

其中，<NAME>是链的名称，<DEFAULT_POLICY>是内建链(如INPUT)的默认策略，括号中的数字是经过链的数据包和字节数。

这一规则：

-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

说，“对于发送到此主机的任何数据包，请将它们通过DOCKER链传递”。