Моя цель - автоматизировать мою конфигурацию iptables, поэтому, анализируя текущую настройку правил iptables в моем локальном поле для справки, я получаю следующее при использовании iptables-save > ./iptables.save; cat ./iptables.save
# Generated by iptables-save v1.4.21 on Fri Aug 14 14:33:13 2015
*nat
:PREROUTING ACCEPT [32:10397]
:DOCKER - [0:0]
...<SNIP>...
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
...
Каково значение :DOCKER - [0:0] и что делает -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER перевести на?
Я не совсем понимаю, о чем вы спрашиваете, но есть попытка ответить.
DOCKER это название цепочки (в nat стол). :DOCKER - [0:0] это просто синтаксис, который iptables-save использует, чтобы указать, что существует определенная пользователем цепочка. Есть три поля:
:<NAME> <DEFAULT_POLICY> [<PACKET_COUNT>:<BYTE_COUNT>]
куда <NAME> это название сети, <DEFAULT_POLICY> является политикой по умолчанию для встроенных цепочек (например, INPUT), а числа в скобках - это количество пакетов и байтов, прошедших через цепочку.
Это правило:
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
Говорит: «Для любых пакетов, предназначенных для этого хоста, передать их через DOCKER цепочка ».