基于Linux系统的包过滤防火墙(5)

　　（5）Netfilter/iptables系统的优点。Netfilter/iptables的最大优点是它可以配置有状态的防火墙，这是 ipfwadm和ipchains等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。有4种有效状态，名称分别为 ESTABLISHED、INVALID、NEW和RELATED。其中：

　　→状态ESTABLISHED指出该信息包属于已建立的连接，该连接一直用于发送和接收信息包并且完全有效。

　　→状态INVALID指出该信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。

　　→状态NEW意味着该项信息包已经或将启动新的连接，或者它与尚味用于发送和接收信息包的连接相关联。

　　→状态RELATED表示该信息包正在启动新连接，以及它与已建立的连接相关联。

　　Netfilter/iptables的另一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来懑足您的特定需求，从而只允许您想要的网络流量进入系统。

　　此外，Netfilter/iptables是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解决方案。

　　总之，最新的Linux内核2.4.x具有Netfilter/iptables系统这种内置的IP信息包过滤工具，它使配置防火墙和信息包过滤变得便宜且方便。Netfilter/iptables系统使其用户可以完全控制防火墙配置和信息包过滤。它允许为防火墙建立可定制化的规则来控制信息包过滤。它还允许配置有状态的防火墙。

　　1.2.3 Netfilter/iptables的内核空间和用户空间

　　虽然netfilter/iptables IP信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter和iptables组成。

　　（1）内核空间。Netfilter组件也称为内核空间（KernelSpace），是内核的一部分，由一些“表”（table）组成，每个表由若干“链”组成，而每条链中可以有一条或数条规则（rule）。

　　（2）用户空间。Iptables组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。

　　1.2.4 Netfilter/iptables过滤系统是如何工作的