基于Linux系统的包过滤防火墙

核心提示： →用修改IP包头的ToS字段来实现更复杂的功能→和tc+iprouter2配合使用可以实现QoS路由（5）Netfilter/iptables系统的优点，Netfilter/iptables的最大优点是它可以配置有状态的防火墙，基于Linux系统的包过滤防火墙(6)，这

→用修改IP包头的ToS字段来实现更复杂的功能

→和tc+iprouter2配合使用可以实现QoS路由

（5）Netfilter/iptables系统的优点。Netfilter/iptables的最大优点是它可以配置有状态的防火墙，这是 ipfwadm和ipchains等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。有4种有效状态，名称分别为 ESTABLISHED、INVALID、NEW和RELATED。其中：

→状态ESTABLISHED指出该信息包属于已建立的连接，该连接一直用于发送和接收信息包并且完全有效。

→状态INVALID指出该信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。

→状态NEW意味着该项信息包已经或将启动新的连接，或者它与尚味用于发送和接收信息包的连接相关联。

→状态RELATED表示该信息包正在启动新连接，以及它与已建立的连接相关联。

Netfilter/iptables的另一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来懑足您的特定需求，从而只允许您想要的网络流量进入系统。

此外，Netfilter/iptables是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解决方案。

总之，最新的Linux内核2.4.x具有Netfilter/iptables系统这种内置的IP信息包过滤工具，它使配置防火墙和信息包过滤变得便宜且方便。Netfilter/iptables系统使其用户可以完全控制防火墙配置和信息包过滤。它允许为防火墙建立可定制化的规则来控制信息包过滤。它还允许配置有状态的防火墙。