iptables - утилита, которая управляет встроенным в ядро брандмауэром netfilter. Состоит из цепочек правил, которые применяются последовательно. Для понимания работы iptables необходимо разобраться с тем, как может вести себя сетевой пакет. В зависимости от таблицы маршрутизации пакет может:

1. может быть отброшен, если вообще нам не предназначен;
2. может пройти транзитом, например, если наш компьютер является маршрутизатором;
3. может предназначаться приложению, находящемуся на компьютере;
4. может отправляться от приложения, находящемуся на компьютере.

Соответственно, в iptables для этого есть 3 различные цепочки правил (вариант с отброшенным пакетом рассматривать не будем):

1. forward
2. input
3. output

В общем виде, пути сетевого пакета можно увидеть на этой картинке

Рассмотрим путь пакета более подробно.

В эту цепочку пакет попадает перед iptables, до того момента, когда будет известно что делать с пакетом и куда он направляется.