在网络安全问题日趋严峻的今天，防火墙作为第一道防线起着关键的作用。Linux由于其源代码的开放性，成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术Netfilter/Iptables在Linux内核中的具体实现，以及Linux下常用的防火墙规则配置软件Iptables。
　　
　　● Netfilter在IP协议栈中的总体框架
　　
　　Netfilter是Linux 2.4.x以后的内核中用于包处理的抽象、通用化的框架，它为IPv4、IPv6、Appletalk等可以多达32种的网络协议定义了一套HOOK，这些HOOK在数据报流过协议栈的几个关键点被调用，如IPv4协议栈为了实现对Netfilter架构的支持，IP PACKET在IPv4协议栈上的游历路线之中，仔细选择了5个参考点。在这5个参考点上，各引入了一行对NF_HOOK()宏函数的一个相应的调用。这个宏函数定义如下：
　　#define NF_HOOK