有次序的规则形成链 chain,
链的集合形成表 table.

默认的iptables表名叫"filter(过滤器)"，包含3个默认链。

对于每个包来说，内核都会选择三个链中适合的一个进行处理:
. FORWARD链规则, 用于从一个网络接口输入，再转发到另一个网络接口输出的包;
. INPUT链规则, 用于以本机为目的地的包;
. OUTPUT链规则, 用于从本地主机发出的包;

除了filter表之外，iptables还包含"NAT"和"mangle"表。
. mangle表包含了链可以修改或者改变在NAT和包过滤之外的网络包的内容。
虽然mangle表对于做包的特殊处理很方便，比如重新设定IP包的ttl值，但是在大多数工作环境中一般不会用到它。

三个规则表的功能如下：
nat：此规则表拥有PREROUTING 和POSTROUTING 两个规则链，
主要功能为进行一对一、一对多、多对多等网址转换工作(SNAT、DNAT)，
这个规则表除了作网址转换外，请不要做其它用途。
mangle：此规则表拥有PREROUTING、FORWARD 和POSTROUTING 三个规则链。
除了进行网址转换工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）
或者是设定MARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在mangle 规则表中;
由于使用率不高，我们不打算在这里讨论mangle 的用法。
filter： 这个规则表是默认规则表，拥有INPUT、FORWARD 和OUTPUT 三个规则链，
这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、LOG、ACCEPT 或REJECT），
我们会将基本规则都建立在此规则表中。

参考： http://blog.chinaunix.net/uid-26000296-id-4111127.html