（1）包过滤防火墙。 （2）代理防火墙。 （3）状态检测技术。
9.1.2 iptables简介
网络服务器搭建、配置与管理——Linux版
早期的Linux系统采用过ipfwadm作为防火墙，但在2.2.0核心中 被ipchains所取代。
Linux 2.4版本发布后，netfilter/iptables信息包过滤系统正式使用。 Netfilter/iptables IP数据包过滤系统实际由netfilter和iptables两
9.5 项目实录 9.6 练习题 9.7 综合案例分析 9.8 超级链接
9.1 相关知识
9.1.1 防火墙概述
1．什么是防火墙
防火墙通常具备以下几个特点。 （1）位置权威性。 （2）检测合法性。 （3）性能稳定性。
网络服务器搭建、配置与管理——Linux版
9.1.1 防火墙概述
2．防火墙的种类
网络服务器搭建、配置与管理——Linux版
等功能的服务器来为校园网用户提供服务，现有如下问题需要解决。 （1）需要架设防火墙以实现校园网的安全。 （2）需要将子网连接在一起构成整个校园网。 （3）由于校园网使用的是私有地址，需要进行网络地址转换，使校园网中的用户能够 访问互联网。
该项目实际上是由Linux的防火墙与代理服务器：iptables和squid来完成的，通 过该角色部署iptables、NAT、squid，能够实现上述功能。
项目目标 ：●了解防火墙的分类及工作原理
●了解NAT ●掌握iptables防火墙的配置 ●掌握利用iptables实现NAT ●掌握squid代理服务器的配置
网络服务器搭建、配置与管理——Linux版
项目九、配置与管理防火墙和代理服务器
9.1 相关知识 9.2 项目设计与准备 9.3 项目实施 9.4 企业实战与应用
网络服务器搭建、配置与管理——Linux版
网络服务器搭建、配置与管理——Linux版
主编：杨云、马立新 人民邮电出版社
..ptpedu..
网络服务器搭建、配置与管理——Linux版
项目九、配置与管理防火墙和代理服务器
项目描述：某高校组建了校园网，并且已经架设了Web、FTP、DNS、DHCP、Mail
●内置链（Build-in Chains）。 ●用户自定义链（User-Defined Chains）。 netfilter常用的为内置链，其一共有5个链，如表
9.1.3 iptables工作原理
netfilter的5 条链相互地 关联，如图
网络服务器搭建、配置与管理——Linux版
iptables数据包转发流程图
不同Network Interface的网络系统，会有不同的封包长度的限制。如封包跨 Fragment 越至不同的网络系统时，可能会将封包进行裁切（Fragment）。可以针对裁
切后的封包信息进行监控与过滤
Counter
可针对封包的计数单位进行条件比对
9.1.3 iptables工作原理
网络服务器搭建、配置与管理——Linux版
9.1.条3 ip件tables工作原理
网络服务器搭建、配置与管理——Linux版 说明
nAedtdfriletessr是Lin针地ux对址核封（心包De中内st的的in一地at址i个o信n通息用A进dd架行re构比ss，对）。与它可网提对络供来卡了源地一地址系址（（M列ASC的ou“rAcded表rAe”dsds（r）es进s行）比、对目的 tables），每个表由若干“链”（chains）组成，而每条链可以由一条或数 条而“链规 又Por则 是t ” 规（ 则的ru封息l容e包包s器）内含。组存：放来成于源。TP实roarnt际s（p上oSro，tu层rcn的eetPPfioolrrtettr信）是息、表设目的定的容比Po对r器t的（，条D表e件st是，in链可at的用io来n容比P器o对r，t的）Pott信
① filter。这是netfilter默认的表，通常使用该表进行过滤的设置，它包含以下 内置链。
●INPUT：应用于发往本机的数据包。 ●FORWARD：应用于路由经过本地的数据包。 ●OUTPUT：本地产生的数据包。 filter表过滤功能强大，几乎能够设定所有的动作（target）。
9.1.3 iptables工作原理
P1r．otoipcotlables通或名信者词协IC解议MP，等释指协的议是某一种特殊种类的通信协议。Netfilter可以比对TCP、UDP
Inte（rf1a）ce 规则接（口ru，le指s）的是。封设包置接过收滤，数或者据输包出的的具网体络条适配件器，名如称IP地址、端口、协 议以及网络接口等信息，iptables如表
（2）动作（target）。当数据包经过Linux相应的处理，iptables动作如表
9.1.3 iptables工作原理
网络服务器搭建、配置与管理——Linux版
（3）链（chain）。数据包传递过程中，不同的情况下所要遵循的规则组合 形成了链。规则链可以分为以下两种。
个组件构成。Netfilter是集成在内核中的一部分，它的作用是定义、 保存相应的规则。而iptables是一种工具，用以修改信息的过滤规则 及其他配置。用户可以通过iptables来设置适合当前环境的规则，而 这些规则会保存在内核空间中。
对于Linux服务器而言，采用netfilter/iptables数据包过滤系统， 能够节约软件成本，并可以提供强大的数据包过滤控制功能， iptables是理想的防火墙解决方案。
网络服务器搭建、配置与管理——Linux版
② nat。当数据包建立新的连接时，该nat表能够修改数据包， 并完成网络地址转换。它包含以下3个内置链。
9.1.3 iptables工作原理
网络服务器搭建、配置与管理——Linux版
（4）表（table）。接受数据包时，Netfilter会提供以下3种数据包处理的功能。 ●过滤。
●地址转换。
●变更。
Netfilter根据数据包的处理需要，将链（chain）进行组合，设计了3个表 （table）：filter、nat以及mangle。