Эта опция указывает таблицу соответствия пакетов, над которой должна работать команда. Если ядро сконфигурировано с автоматической загрузкой модуля c, будет предпринята попытка загрузить соответствующий модуль для этой таблицы, если его там еще нет. Таблицы следующие:
filter:
Это таблица по умолчанию (если не задана опция -t). Он содержит встроенные цепочки INPUT (для пакетов, предназначенных для локальных сокетов), FORWARD (для пакетов, маршрутизируемых через коробку) и OUTPUT (для локально генерируемых пакетов). nat: Эта таблица используется при обнаружении пакета, создающего новое соединение. Он состоит из четырех встроенных модулей: PREROUTING (для изменения пакетов, как только они поступают), INPUT (для изменения пакетов, предназначенных для локальных сокетов), OUTPUT (для изменения локально сгенерированных пакетов перед маршрутизацией) и POSTROUTING (для изменения пакетов как они собираются go). Поддержка NAT IPv6 доступна начиная с ядра 3.7.
mangle:
Эта таблица используется для специализированного изменения пакетов. До ядра 2.4.17 оно имело две встроенные цепочки: PREROUTING (для изменения входящих пакетов перед маршрутизацией) и OUTPUT (для изменения локально сгенерированных пакетов перед маршрутизацией). Начиная с ядра 2.4.18, также поддерживаются три другие встроенные цепочки: INPUT (для пакетов, входящих в сам ящик), FORWARD (для изменения пакетов, маршрутизируемых через ящик), и POSTROUTING (для изменения пакетов, когда они собираются go out).
raw:
Эта таблица используется в основном для настройки исключений из отслеживания соединений в сочетании с целью NOTRACK. Он регистрируется на хуках сетевого фильтра с более высоким приоритетом и, таким образом, вызывается перед ip_conntrack или любыми другими IP-таблицами. Он обеспечивает следующие встроенные цепочки: PREROUTING (для пакетов, поступающих через любой сетевой интерфейс) OUTPUT (для пакетов, генерируемых локальными процессами)
security:
Эта таблица используется для обязательного контроля доступа (MA C) сетевые правила, такие как те, которые включены в целях SECMARK и CONNSECMARK. Обязательный контроль доступа реализован с помощью Linux модулей безопасности, таких как SE Linux. Таблица безопасности вызывается после таблицы фильтров, что позволяет любым правилам Дискреционного управления доступом (DA C) в таблице фильтров вступать в силу до правил MA C. В этой таблице представлены следующие встроенные цепочки: INPUT (для пакетов, входящих в сам ящик), OUTPUT (для изменения локально сгенерированных пакетов перед маршрутизацией) и FORWARD (для изменения пакетов, маршрутизируемых через коробку).