基于Linux系统的包过滤防火墙

核心提示： 1.2.3 Netfilter/iptables的内核空间和用户空间虽然netfilter/iptables IP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成，基于Linux系统的包过滤防火墙(7)，（1）内核空间，Netfilter组件也称为

1.2.3 Netfilter/iptables的内核空间和用户空间

虽然netfilter/iptables IP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。

（1）内核空间。Netfilter组件也称为内核空间（KernelSpace），是内核的一部分，由一些“表”（table）组成，每个表由若干“链”组成，而每条链中可以有一条或数条规则（rule）。

（2）用户空间。Iptables组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。

1.2.4 Netfilter/iptables过滤系统是如何工作的

Netfilter/iptables IP信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做包过滤决定时所遵循的依据。这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规则被分组在链（chain）中。

（1）用户使用iptables命令在用户空间设置过滤规则。通过使用用户空间可以构建用户自己的定制过滤规则，这些规则存储在内核空间的信息包过滤表中。这些规则具有目标，它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配，那么使用目标 ACCEPT允许该信息包通过。还可以使用目标DROP或REJECT来阻塞并杀死信息包。对于可对信息包执行的其它操作，还有许多其它目标。

根据规则所处理的信息包的类型，可以将规则分组在链中。

→处理入站信息包的规则被添加到INPUT链中。

→处理出站信息包的规则被添加到OUTPUT链中。

→处理正在转发的信息包的规则被添加到FORWARD链中。

这3个链是系统默认的表（filter）中内置的3个默认主链。每个链都有一个策略，它定义默认目标，也就是要执行的默认操作，当信息包与链中的任何规则都不匹配时，执行此操作。