iptables的应用

核心提示： 数据包在filter表中的流程如图二所示，有数据包进入系统时，iptables的应用(2)，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况： 1. 如果数据包的目的地址是本机，这些项目通常都是位于“Networking options”子项下，以2.4

数据包在filter表中的流程如图二所示。有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况：

1. 如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉；

2. 如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉；

3. 如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉。

从以上我们可以看出，netfilter比起以前的ipfwadm和ipchains思路上清晰了好多，也好理解了好多，这对于原先对ipfwadm和ipchains总是感到一头雾水的用户来说无疑是一个福音。

三、 准备工作

1. 系统需求

netfilter要求内核版本不低于2.3.5，在编译新内核时，要求选择和netfilter相关的项目。这些项目通常都是位于“Networking options”子项下。以2.4.0内核为例，我们应该选中的项目有：

[*] Kernel/User netlink socket

[ ] Routing messages

<*> Netlink device emulation

[*] Network packet filtering (replaces ipchains)

.......

然后，在“IP: Netfilter Configuration ---->”选中：

Connection tracking (required for masq/NAT)

FTP protocol support

IP tables support (required for filtering/masq/NAT)