iptables-1.1.9指南

核心提示： SNAT - Source Network Address Translation源网络地址转换，这是一种改变数据包源ip地址的技术，iptables-1.1.9指南(4)，经常用来使多台计算机分享一个Internet地址，这只在IPv4中使用，不管你用make config或其他命令，

SNAT - Source Network Address Translation源网络地址转换。这是一种改变数据包源ip地址的技术，经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用，因为IPv4的地址已快用完了，IPv6将解决这个问题。

State - 状态 指明数据包处于什么状态。状态在RFC 793 - Transmission Control Protocol中定义，或由用户在Netfilter/iptables中自定义。需要注意的是Netfilter设定了一些关于连接和数据包的状态，但没有完全使用使用RFC 793的定义。

User space - 用户空间，指在内核外部或发生在内核外部的任何东西。例如，调用 iptables -h 发生在内核外部，但iptables -A FORWARD -p tcp -j ACCEPT （部分地）发生在内核内部，因为一条新的规则加入了规则集。

Kernel space - 内核空间 ，与用户空间相对，指那些发生在内核内部。

Userland - 参见用户空间

target - 这个词在后文中有大量的应用，它表示对匹配的数据包所做的操作。

2. 准备阶段

这一章是学习iptables的开始，它将帮助你理解Netfilter和iptables在Linux中扮演的角色。它会告诉你如何配置、安装防火墙，你的经验也会随之增长。当然，要想达到你的目标，是要花费时间，还要有毅力。（ 译者注：听起来很吓人的 ）

2.1. 哪里能取得iptables

iptables 可以从www.netfilter.org 下载，网站中的FAQs也是很好的教程。iptables 也使用一些内核空间，可以在用make configure配置内核的过程中配置，下面会介绍必要的步骤。

2.2. 内核配置

为了运行iptables，需要在内核配置期间，选择以下一些选项，不管你用make config或其他命令。

CONFIG_PACKET - 允许程序直接访问网络设备（译者注：最常用的就是网卡了），象tcpdump 和 snort就要使用这个功能。