对于nat来讲一般也只能做在3个链上：
                  PREROUTING ，OUTPUT ，POSTROUTING
         而mangle则是5个链都可以做：
                  PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

         iptables /netfilter（这款软件）是工作在用户空间的，它可以让规则进行生效的，本身不是一种服务，而且规则是立即生效的。而我们iptables现在被 做成了一个服务，可以进行启动，停止的。启动，则将规则直接生效，停止，则将规则撤销。
         iptables还支持自己定义链。但是自己定义的链，必须是跟某种特定的链关联起来的。在一个关卡设定，指定当有数据的时候专门去找某个特定的链来处理，当那个链处理完之后，再返回。接着在特定的链中继续检查。
         规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。

三．如何写规则呢？
         iptables定义规则的方式比较复杂
         格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION
         -t table ：3个filter nat mangle
         COMMAND：定义如何对规则进行管理
         chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的
         CRETIRIA:指定匹配标准
         -j ACTION :指定如何进行处理

         比如：不允许172.16.0.0/24的进行访问。
         iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
         当然你如过想拒绝的更彻底：
         iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

         iptables -L -n -v查看定义规则的详细信息

四：详解COMMAND
1.链管理命令（这都是立即生效的）
         -P :设置默认策略的（设定默认门是关着的还是开着的）
                      默认策略一般只有两种
                      iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的
                            比如：
                            iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。
         -F: FLASH，清空规则链的(注意每个链的管理权限)
                            iptables -t nat -F PREROUTING
                            iptables -t nat -F 清空nat表的所有链
         -N:NEW 支持用户新建一个链
                            iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
         -X: 用于删除用户自定义的空链
                        使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了
         -E：用来Rename chain主要是用来给用户自定义的链重命名
                            -E oldname newname
         -Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）
                            iptables -Z :清空

2.规则管理命令
         -A：追加，在当前链的最后新增一个规则
         -I num : 插入，把当前规则插入为第几条。
                            -I 3 :插入为第三条
         -R num：Replays替换/修改第几条规则
                            格式：iptables -R 3 …………
         -D num：删除，明确指定删除第几条规则
      
3.查看管理命令 “-L”
         附加子命令
         -n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。