基于Linux系统的包过滤防火墙

核心提示： 事实上，我们可以将Netfilter视为网络协议堆栈中可以让其它模块操作网络数据包的一系列“钩子”，基于Linux系统的包过滤防火墙(5)，在数据包通过协议堆栈的某些特定的点上， Netfilter框架允许一个模块转发或丢弃数据包、通过某种方式改变数据包、在用户空间

事实上，我们可以将Netfilter视为网络协议堆栈中可以让其它模块操作网络数据包的一系列“钩子”，在数据包通过协议堆栈的某些特定的点上， Netfilter框架允许一个模块转发或丢弃数据包、通过某种方式改变数据包、在用户空间（非内核模式）对包进行排队，当然也可以根本不去干涉它。

（1）Netfilter/iptables系统的含义。Linux 2.4内核中Netfilter是新的用来实现防火墙的过滤器。 iptables是用来指定Netfilter规则的用户工具。

Iptables只是一个管理内核包过滤的工具，它为用户配置防火墙规则提供了方便。

Iptables可以加入、插入或删除核心包过滤表格（链）中的规则。实际上真正来执行这些规则的netfilter及其相关模块（如iptables模块和nat模块等）。

因此，要使用Netfilter/iptables系统，必须首先有2.4版本内核的相关支持，同时必须安装iptables软件包。在Red Hat 9.0发行版中，此系统是默认的配置。

（2）使用Netfilter/iptables替代ipchains的原因：

→连接跟踪

→自动碎片重装

→改良的匹配规则

→增强的日志功能

→允许撕裂包中的任何信息

→用户队列允许用户空间对包进行编程

→支持内置包转发而舍弃了IPMASQANDM

（3）Netfilter/iptables系统的主要功能

→状态包过滤（连接跟踪）

→各种网络地址翻译

→灵活、易扩展的急智机制

→大量的增强型补丁包

（4）Netfilter/iptables的用途

→建立Internet防火墙和基于状态的包过滤

→用NAT和伪装（masquerading）共享上网

→用NAT实现透明代理