Что это такое?

Это цепочка правил iptables.

Зачем это нужно?

Для управления механизмом netfilter в ядре ОС Linux.

Как это настроить?

Цепочка состоит из набора правил, в соответствии с которыми обрабатывается каждый пакет. Для добавления правил используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

Каждое правило включает в себя:

1. Набор критериев, по которым анализируется пакет.
2. Действие, которое следует предпринять, если выполнены все эти критерии.
3. Параметры для этого действия.

Порядок следования правил важен по существу. Правила проверяются в порядке их нумерации; как только пакет удовлетворил одному из правил, дальнейший анализ, в большинстве случаев, прекращается (в зависимости от действия, установленного этим правилом), и все последующие правила не имеют уже никакого значения. Помимо правил, цепочка предусматривает действие по умолчанию — на тот случай, если пакет не удовлетворил ни одному из явно указанных правил.

Что делать, если это не работает?

1. Смотреть фактическую таблицу iptables (filter, nat или mangle, соответственно), сгенерированную в соответствии с вашими настройками, а также статистику срабатывания её правил, командой SHOW в соответствующем узле.
2. Обратить внимание на последовательноть применения различных таблиц и цепочек iptables. Убедиться, что в каждом правиле указаны те параметры пакета, которые он фактически должен иметь к моменту применения этого правила — с учётом возможного их изменения на предыдущих этапах.
3. Смотреть входящий и исходящий трафик на интерфейсах при помощи утилиты tcpdump.