简介

前面文章介绍iptables的匹配条件，并且已经用到了一些常用动作，比如ACCEPT、DROP、REJECT等。

以下是 iptables 中常用的一些目标（target）及其原理和时机：ACCEPT
原理：允许数据包通过，并停止对后续规则的匹配。
时机：当你想允许特定的数据包通过防火墙时。DROP
原理：丢弃数据包，并不返回任何错误消息给发送者。
时机：当你想阻止特定的数据包通过防火墙，并且不想让发送者知道数据包已被丢弃时。REJECT
原理：拒绝数据包，并返回一个错误消息给发送者（通常是 ICMP 类型的消息）。
时机：当你想阻止特定的数据包通过防火墙，并希望发送者知道数据包已被拒绝时。LOG
原理：记录数据包的信息到系统日志（通常是 /var/log/syslog 或 /var/log/messages），然后根据下一个目标（通常是 DROP 或 REJECT）来处理数据包。
时机：当你想记录通过或未通过防火墙的数据包信息时。RETURN
原理：结束当前链中的处理，并返回到调用它的链继续处理。
时机：当你使用用户定义的链（user-defined chains）时，并且在处理完特定条件后想返回到主链（如 INPUT、OUTPUT、FORWARD）继续处理。QUEUE
原理：将数据包放入用户空间队列，以便应用程序（如防火墙脚本）可以进一步处理。
时机：当你想在用户空间中对数据包进行更复杂的处理时。MARK
原理：设置数据包的 NFMARK 字段。这通常与路由和其他更高级的功能一起使用。
时机：当你需要为数据包设置特定的标记以进行后续处理时。GOTO
原理：跳转到另一个用户定义的链进行进一步处理。与 RETURN 类似，但不返回，而是继续在新的链中处理。
时机：当你想在一个复杂的用户定义的链结构中进行控制流处理时。DNAT（目标地址转换）和 SNAT（源地址转换）
原理：修改数据包的源或目标 IP 地址。通常用于 NAT（网络地址转换）场景。
时机：当你想在防火墙级别进行地址转换时，例如，将外部 IP 地址映射到内部服务器。MASQUERADE（或MASQUERADE-SAVE）
原理：对源地址进行伪装，通常用于从私有网络到公共网络的NAT。
时机：在私有网络中的主机需要访问公共网络时。TOS 或 TCLASS
原理：修改数据包的Type of Service（TOS）字段（IPv4）或Traffic Class（IPv6）。
时机：根据数据包的优先级或服务类型进行路由决策。TTL
原理：修改数据包的TTL（Time to Live）字段。
时机&#