2.2　利用iptables構(gòu)建網(wǎng)絡(luò)防火墻

Linux系統(tǒng)提供了iptables用于構(gòu)建網(wǎng)絡(luò)防火墻，其能夠?qū)崿F(xiàn)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）等功能。為iptables提供這些功能的底層模塊是netfilter框架（Netfilter項(xiàng)目的官方網(wǎng)站是https://www.netfilter.org）。Linux中的netfilter是內(nèi)核中的一系列鉤子（Hook），它為內(nèi)核模塊在網(wǎng)絡(luò)棧中的不同位置注冊回調(diào)函數(shù)（Callback Function）提供了支持。數(shù)據(jù)包在協(xié)議棧中依次經(jīng)過這些在不同位置的回調(diào)函數(shù)的處理。