Когда я выполняю судо iptables-F, мои правила iptable для таблицы nat не сбрасываются. Почему это так? Что делает приведенная выше команда?

Я считаю, что есть три таблицы: filter, nat и mangle. Я не думаю, что какая-либо из этих таблиц затронута судо iptables-F. Это правильно?

Как руководство государства, все iptables команды работают с конкретной таблицей.

Когда вы опускаете необязательный -t ТАБЛИЦА отметить iptables-F команда будет работать только с таблицей по умолчанию, фильтр Таблица.

Столы

В настоящее время существует три независимых таблицы (какие таблицы присутствуют в любое время, зависит от параметров конфигурации ядра и от того, какие модули присутствуют).

-t, --table таблица
Эта опция указывает таблицу сопоставления пакетов, с которой должна работать команда. Если ядро ​​настроено на автоматическую загрузку модулей, будет предпринята попытка загрузить соответствующий модуль для этой таблицы, если его еще нет.

Таблицы следующие:

фильтр:
Это таблица по умолчанию (если нет -т вариант пройден). Он содержит встроенные цепи ВХОД (для пакетов, предназначенных для локальных сокетов), ВПЕРЕД (для пакетов, маршрутизируемых через ящик), и ВЫВОД (за локально сгенерированные пакеты).
натур:
К этой таблице обращаются, когда пакет который создает новое соединение. Он состоит из трех встроенные: ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ (для изменения пакетов, как только они приходят), ВЫВОД (для изменения локально сгенерированных пакетов перед маршрутизацией) и РАЗМЕЩЕНИЕ (для изменения пакетов перед их отправкой).
калечить: Эта таблица используется для специализированного изменения пакетов.
До тех пор ядро 2.4.17 имело две встроенные цепочки: ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ (для изменения входящие пакеты перед маршрутизацией) и ВЫВОД (для изменения локально сгенерированные пакеты перед маршрутизацией).
Начиная с ядра 2.4.18, три также поддерживаются другие встроенные цепочки: ВХОД (для пакетов, приходящих в самой коробке) ВПЕРЕД (для изменения маршрутизируемых пакетов через коробку) и РАЗМЕЩЕНИЕ (для изменения пакетов как есть собирается выходить).
сырой: Эта таблица используется в основном для настройки исключения из отслеживания соединений в сочетании с НЕТРЕК цель. Он регистрируется на ловушках netfilter с более высоким приоритетом и поэтому вызывается перед ip_conntrack или любыми другими таблицами IP.
Это предоставляет следующие встроенные цепочки: ПРЕДВАРИТЕЛЬНАЯ МАРШРУТИЗАЦИЯ (для пакетов поступающие через любой сетевой интерфейс) ВЫВОД (для пакетов, сгенерированных локальные процессы)

Я считаю, что вам нужно добавить -t <имя_таблицы> возможность смыть нат и калечить столы.