Red Hat90学习参考Linux网络安全.pptVIP

8.3.2 Netfilter/iptables简介 1．Linux下的包过滤防火墙管理工具 从1．1内核开始，Linux就已经具有包过滤功能了，随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段： 在2.0的内核中，采用ipfwadm来操作内核包过滤规则。 在2.2的内核中，采用ipchains来控制内核包过滤规则。 在2.4的内核中，采用一个全新的内核包过滤管理工具——iptables。 现在最新Linux内核版本是2.4.1，在2.4内核中不再使用ipchains，而是采用一个全新的内核包过滤管理工具--iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。 iptables作为一个管理内核包过滤的工具，iptables 可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是Netfilter(Linux 核心中一个通用架构)及其相关模块(如iptables模块和nat模块等)。 2．Netfilter的工作原理 Netfilter是Linux 核心中的一个通用架构，它提供了一系列的“表”(tables)，每个表由若干“链”(chains)组成，而每条链中可以有一条或数条规则(rule)组成。因此，可以理解netfilter是表的容器，表是链