搭建基於netfilter/iptables的防火牆實驗環境

　　防火牆作為一種網路或系統之間強制實行存取控制的機制，是確保網路安全的重要手段。針對不同的需求和應用環境，可以量身定製出不同的防火牆系統。防火牆大到可由若干路由器和堡壘主機構成，也可小到僅僅是網路作業系統上一個防火牆軟體包所提供的包過濾功能。 在眾多網路防火牆產品中，Linux作業系統上的防火牆軟體特點顯著。首先是Linux作業系統作為一個類Unix網路作業系統，在系統的穩定性、健壯性及價格的低廉性方面都獨具優勢。更為重要的是，Linux不但本身的原始碼完全開放，而且系統包含了建立Internet網路環境所需要的所有服務軟體包，如Apache Web伺服器、DNS伺服器、Mail伺服器、Database伺服器等。同樣，基於Linux的防火牆軟體不但具有強大的功能，而且大部分都是開放軟體。

　　隨著Internet的飛速發展，安全問題越來越重要。利用Linux構建企業網深受中小企業的青睞，而利用Linux構建企業網的防火牆系統也成為眾多中小企業的理想選擇。 Linux 核心從1.1版本開始，就已經具備包過濾功能。在2.0核心中，開始採用Ipfwadm來操作核心的包過濾規則。到2.2版本時，Linux核心採用了 Ipchains來控制核心的包過濾規則。發展到2.4.x時，Ipchains被一個全新的包過濾管理工具Iptables所替代。新發布的2.6版核心也在安全方面進行了改進。因此，無論擁有哪個版本的Linux核心，無論選擇哪個版本的Linux來構建自己的企業網，都可以利用現有的系統構建出一個理想實用的防火牆。 防火牆系統可分為包過濾型、應用級網關（也叫Proxy 伺服器型防火牆）和電路級網關三種基本類型。

　　Linux提供的防火牆軟體包內建於Linux核心中，是一種基於包過濾型的防火牆實現技術。其中心思想是根據網路層IP包頭中的源地址、目的地址及包類型等資訊來控制包的流向。更徹底的過濾則是檢查包中的源連接埠、目的連接埠以及串連狀態等資訊。 Netfilter是Linux核心中一個通用架構，用於擴充各種服務的結構化底層服務。它提供一系列的表（tables），每個表由若干鏈（chains）組成，而每條鏈中可以由一條或數條規則（rule）組成。它可以和其它模組（如iptables模組和nat模組）結合起來實現包過濾功能。Iptables是一個管理核心包過濾的工具，可以加入、插入或刪除核心包過濾表格中的規則。實際上真正來執行這些過濾規則的是Netfilter 。

　　硬體平台：

　　① R.H linux9.0系統pc一台（FireWall）三個8139 TP-LINK 網卡

　　Eth0(IP：218.197.93.115)

　　Eth1(IP：192.168.1.1)