2.2　利用iptables构建网络防火墙

Linux系统提供了iptables用于构建网络防火墙，其能够实现包过滤、网络地址转换（Network Address Translation，NAT）等功能。为iptables提供这些功能的底层模块是netfilter框架（Netfilter项目的官方网站是https://www.netfilter.org）。Linux中的netfilter是内核中的一系列钩子（Hook），它为内核模块在网络栈中的不同位置注册回调函数（Callback Function）提供了支持。数据包在协议栈中依次经过这些在不同位置的回调函数的处理。