无论是那些已经使用了基于Netfilter/Iptables防火墙系统的企业，还是那些正准备使用它的企业，本文的内容都非常适合为系统管理员们提供参考。

在Netfilter 的官方网站，用户能够下载Iptables的最新的源代码，Iptables的使用说明文档，FAQ和Mail List，这个站点是有关Netfilter/Iptables最权威、最全面的地方，在这里，你几乎能够找到和Netfilter/iptables相关的所有帮助和技术支持。

DNAT - Destination Network Address Translation 目的网络地址转换。 DNAT是一种改变数据包目的IP地址的技术，这种技术经常用于将内部网络（RFC1918定义的地址段）的服务器通过公有的可路由IP地址发布到 Internet上，通过对同一个IP地址分配不同的端口，来决定数据的流向。
SNAT - Source Network Address Translation源网络地址转换。这是一种改变数据包源IP地址的技术，经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用，因为IPv4的地址已快用完了，IPv6将解决这个问题。IPv6使得地球上每一粒沙子大小的空间都能够分配到一个IP地址，因此IPv6不存在地址空间短缺的问题。
State - 状态 指明数据包处于什么状态。状态在RFC 793 - Transmission Control Protocol中定义，或由用户在Netfilter/iptables中自定义。需要注意的是Netfilter设定了一些关于连接和数据包的状态，但没有完全使用使用RFC 793的定义。
User space - 用户空间，指在内核外部或发生在内核外部的任何东西。例如，调用 iptables -h 发生在内核外部，但iptables -A FORWARD -p tcp -j ACCEPT（部分地）发生在内核内部，因为一条新的规则加入了规则集。
Kernel space - 内核空间 ，与用户空间相对，指那些发生在内核内部。
target - 这个词在后文中有大量的应用，它表示对匹配的数据包所做的操作，如ACCEPT、DROP、REDIRECT等等。
本文中的命令以黑体5号宋体字表示，如下例：
＃iptables-restore /etc/sysconfig/iptables

1.2 编译内核
在一般情况下，我们采用的Linux的distribution比如Redhat都会帮我们安装好Iptables，而且netfilter的核心层也被以模块（Modules）的方式编译进了核心，所以，在绝大多数的情况下，我们是不需要对核心进行重新编译的。
当然，我们写这篇文档的用意决不仅限于教会用户使用几个命令来管理iptables，所以，我们还是来描述一下如何编译核心以使Linux在核心层能够支持数据包过滤。
编译核心的准备工作当然是必需有Linux Kernel的源代码，在源代码文件的目录/usr/src/linux-2.4（这个目录一般是个链接文件）中输入：
#make menuconfig

从图中可以看到，左面尖括号内的“M”代表该选项被编译成核心模块，仅在系统需要时才被装载入核心空间，由于模块化的核心是不占用核心本身的空间的，因此，对于这些选项，除非肯定不会用到的以外，其他的都可以选择编译成核心模块，但有些是必须的，如
Connection tracking——用于支持状态链接跟踪功能
FTP protocol support——用于支持对Ftp协议的连接跟踪机制
IP tables support——用于支持包过滤
Connection state match support——用户支持连接状态匹配
MASQUERADE target support——支持地址伪装功能
Multiport match support——支持多端口匹配，这对于设置过滤规则非常有好处
REDIRECT target support——如果你想使用iptables将特定的流量交给特定的**程序如squid来处理，这个选项需要被编译进核心模块
这些选项选择完成后，按照核心编译的方法对配置好的核心进行编译即可：
＃make dep
＃make bzImage
＃make install
＃make modules
＃make modules_install
1.3 iptables的编译和安装
从网站上下载的源代码是“tar.bz2”格式的，编译源代码的第一步工作是解压缩，命令如下：
＃/bin/tar xjvf iptables-1.2.9.tar.bz2
解压缩后，进入源代码的安装目录，开始编译：
＃make KERNEL_DIR=/usr/src/linux/
如果一切正常，那么iptables应该编译好了，接下来可以进行安装了，安装命令非常简单：
＃make install KERNEL_DIR=/usr/src/linux/
怎么样？简单吧，当然，如果这时您的系统核心还没有将netfilter/iptables编译进去，那么安装了iptables软件是没有多大意义的。
1.4 iptables的启动和关闭
在Redhat Linux上，由于历史的原因，ipchains和iptables是并存的（ipchains是在kerenl版本2.4.x以前的包过滤防火墙系统），因此ipchains和iptables同时运行是不允许的，我们首先要将ipchains的服务停掉：
#/sbin/chkconfig –level 123456 ipchains off
＃/sbin/service ipchains stop
当然，既然不使用ipchains了，我们也可以将ipchains从系统中移除，使用命令：
＃rpm –e ipchains
第二步是启动Iptables的服务
#/sbin/chkconfig –level 345 iptables on
#/sbin/service iptables start
chkconfig命令表示在系统启动时，ipchains或iptables在相应启动级别的缺省设置，如果是off，则代表系统启动时不启动ipchains或iptables服务。反之，则启动。
1.5 iptables的工作原理和基础架构
iptables 被分为两部分，一部分被称为核心空间，另一部分称为用户空间，在核心空间，iptables从底层实现了数据包过滤的各种功能，比如NAT、状态检测以及高级的数据包的匹配策略等，在用户空间，iptables为用户提供了控制核心空间工作状态的命令集。无论如何，一个数据包都会经过下图所示的路径，并在其中的任何一条路径中被处理。
首先，当一个包进来的时候，也就是从以太网卡进入防火墙，内核首先根据路由表决 定包的目标。如果目标主机就是本机，则如下图直接进入INPUT链，再由本地正在等待该包的进程接收，否则，如果从以太网卡进来的包目标不是本机，再看是否内核允许转发包(可用 echo 1 > /proc/sys/net/ipv4/ip_forward 打开转发功能如果不允许转发，则包被DROP掉，如果允许转发，则送出本机，这当中决不经过INPUT或者OUTPUT链，因为路由后的目标不是本机，只被转发规则应用，最后，该linux防火墙主机本身能够产生包，这种包只经过OUTPUT链被送出防火墙。

现在，我们来讨论为什么iptables叫iptables，这句话挺别扭是吗？但iptables的名字起的确实如其名，我们可以叫它ip表，在iptables**有三类表，分别是mangle、nat和filter。
mangle表从目前来看，他的作用对于满足常规的防火墙应用作用不大，我们在这里不进行具体的描述。
nat表的作用在于对数据包的源或目的IP地址进行转换，这种应用也许只会在IPv4的网络中适用，nat表又可主要分为三条链，如下：
DNAT：DNAT操作主要用在这样一种情况下，你有一个合法的IP地址，要把对防火墙的访问重定向到其他的机子上，比如DMZ。也就是说，我们改变的是目的地址，以使包能重路由到某台主机上。
SNAT： SNAT改变包的源地址，这在极大程度上可以隐藏你的本地网络或者DMZ等。一个很好的例子是我们知道防火墙的外部地址，但必须用这个地址替换本地网络地址。有了这个操作，防火墙就能自动地对包做SNAT，以使LAN能连接到Internet。如果使用类似 192.168.0.0/24这样的地址，是不会从Internet得到任何回应的。因为RFC1918定义了这些网络为私有的，只能用于LAN内部。
MASQUERADE： MASQUERADE的作用和SNAT完全一样，只是计算机的负荷稍微多一点。因为对每个匹配的包，MASQUERADE都要查找可用的IP地址，而不象 SNAT用的IP地址是配置好的。当然，这也有好处，就是如果我们使用诸如PPPOE等拨号的方式连接Internet，这些地址都是由ISP的随机分配的，这时使用MASQUERADE是非常好的一个解决方案。
filter 表用来过滤数据包，我们可以在任何时候匹配包并过滤它们。我们就是在这里根据包的内容对包做DROP或ACCEPT的。当然，我们也可以预先在其他地方做些过滤，但是这个表才是设计用来过滤的。几乎所有的target都可以在这儿使用。
1.6 状态机制
状态机制是iptables中较为特殊的一部分，这也是iptables和比较老的ipchains的一个比较大的区别之一，运行状态机制（连接跟踪）的防火墙称作带有状态机制的防火墙，以下简称为状态防火墙。状态防火墙比非状态防火墙要安全，因为它允许我们编写更严密的规则。
在iptables上一共有四种状态，分别被称为NEW、ESTABLISHED、INVALID、RELATED，这四种状态对于TCP、UDP、ICMP三种协议均有效。下面，我们来分别阐述四种状态的特性。
NEW：NEW说明这个包是我们看到的第一个包。意思就是，这是conntrack模块看到的某个连接的第一个包，它即将被匹配了。比如，我们看到一个SYN 包，是我们所留意的连接的第一个包，就要匹配它。
ESTABLISHED： ESTABLISHED已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是非常容易理解的。只要发送并接到应答，连接就是ESTABLISHED的了。一个连接要从NEW变为ESTABLISHED，只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED，只要它们是我们所发出的信息的应答。
RELATED： RELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想是RELATED的，首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接，这个新的连接就是 RELATED的了，当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 连接就是和FTP-control有关联的，如果没有在iptables的策略中配置RELATED状态，FTP-data的连接是无法正确建立的，还有其他的例子，比如，通过IRC的DCC连接。有了这个状态，ICMP应答、FTP传输、DCC等才能穿过防火墙正常工作。注意，大部分还有一些UDP协议都依赖这个机制。这些协议是很复杂的，它们把连接信息放在数据包里，并且要求这些信息能被正确理解。