基于Linux系统的包过滤防火墙(4)

　　1.2.2 新一代的Netfilter网络底层架构

　　Netfilter是一种内核中用于扩展各种网络服务的结构化底层构架。Netfilter的设计思想是生成一个模块结构使之能够比较容易的扩展。新的特性加入到内核中并不需要重新启动内核。这样，可以通过简单的构造一个内核模块来实现网络新特性的扩展。为底层的网络特性扩展带来了极大的便利，使更多从事网络底层研发的人员能够集中精力实现新的网络特性。

　　事实上，我们可以将Netfilter视为网络协议堆栈中可以让其它模块操作网络数据包的一系列“钩子”，在数据包通过协议堆栈的某些特定的点上， Netfilter框架允许一个模块转发或丢弃数据包、通过某种方式改变数据包、在用户空间（非内核模式）对包进行排队，当然也可以根本不去干涉它。

　　（1）Netfilter/iptables系统的含义。Linux 2.4内核中Netfilter是新的用来实现防火墙的过滤器。 iptables是用来指定Netfilter规则的用户工具。

　　Iptables只是一个管理内核包过滤的工具，它为用户配置防火墙规则提供了方便。

　　Iptables可以加入、插入或删除核心包过滤表格（链）中的规则。实际上真正来执行这些规则的netfilter及其相关模块（如iptables模块和nat模块等）。

　　因此，要使用Netfilter/iptables系统，必须首先有2.4版本内核的相关支持，同时必须安装iptables软件包。在Red Hat 9.0发行版中，此系统是默认的配置。

　　（2）使用Netfilter/iptables替代ipchains的原因：

　　→连接跟踪

　　→自动碎片重装

　　→改良的匹配规则

　　→增强的日志功能

　　→允许撕裂包中的任何信息

　　→用户队列允许用户空间对包进行编程

　　→支持内置包转发而舍弃了IPMASQANDM

　　（3）Netfilter/iptables系统的主要功能

　　→状态包过滤（连接跟踪）

　　→各种网络地址翻译

　　→灵活、易扩展的急智机制

　　→大量的增强型补丁包

　　（4）Netfilter/iptables的用途

　　→建立Internet防火墙和基于状态的包过滤

　　→用NAT和伪装（masquerading）共享上网

　　→用NAT实现透明代理

　　→用修改IP包头的ToS字段来实现更复杂的功能

　　→和tc+iprouter2配合使用可以实现QoS路由