我的目标是自动化我的iptablesconfiguration,所以当分析我当前的iptables规则安装在我的本地盒子参考时,我使用iptables-save > ./iptables.save; cat ./iptables.save iptables-save > ./iptables.save; cat ./iptables.save
# Generated by iptables-save v1.4.21 on Fri Aug 14 14:33:13 2015 *nat :PREROUTING ACCEPT [32:10397] :DOCKER - [0:0] ...<SNIP>... -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER ...
什么是重要的:DOCKER - [0:0]和什么-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER转换为?
我不完全清楚你在问什么,但是有一个尝试。
DOCKER是一个链的名字(在nat表中)。 :DOCKER - [0:0]只是iptables-save用来指示存在用户定义链的语法。 有三个领域:
:<NAME> <DEFAULT_POLICY> [<PACKET_COUNT>:<BYTE_COUNT>]
其中<NAME>是链的名称, <DEFAULT_POLICY>是内置链(如INPUT )的默认策略,括号中的数字是已经通过链的数据包和字节数。
这条规则:
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
他说:“对于任何发往这个主机的数据包,都要通过DOCKER链传递它们”。