Linux為我們提供了一個非常優秀的防火牆工具,它就是netfilter/iptables(http: //www.netfilter.org/)。它完全是免費的,並且可以在一台低配置的老機器上很好地運行。netfilter/iptables功能強大,使用靈活,並且可以對流入和流出的信息進行細化的控制。事實上,每一個主要的Linux版本中都有不同的防火牆軟件套件。Iptabels(netfilter)應用程序被認為是Linux中實現包過慮功能的第四代應用程序。第一代是Linux 內核1.1版本所使用的Alan Cox從BSD Unix中移植過來的ipfw。在2.0版的內核中,Jos Vos和其它一些程序員對ipfw進行了擴展,並且添加了ipfwadm用戶工具。在2.2版內核中, Russell和Michael Neuling做了一些非常重要的改進,也就是在該內核中,Russell添加了幫助用戶控制過慮規則的ipchains工具。後來,Russell又完成了其名為netfilter(http://www.netfilter.org)的內核框架。這些防火牆軟件套件一般都比其前任有所改進,表現越來越出眾。Netfilter/iptables已經包含在了2.4以後的內核當中,它可以實現防火牆、NAT(網絡地址翻譯)和數據包的分割等功能。 netfilter工作在內核內部,而iptables則是讓用戶定義規則集的表結構。netfilter/iptables是從ipchains和 ipwadfm(IP防火牆管理)演化而來的,為了簡單起見,下文中,我就將其統一稱為iptables。iptables的其它一些好的用法是為Unix、Linux和BSD個人工作站創建一個防火牆,當然也可以為一個子網創建防火牆以保護其它的系統平台。 iptables只讀取數據包的頭,所以不會給信息流增加負擔,此外它也無需進行驗證。如果要想獲得更好的安全性,可以將其和一個代理服務器(比如 squid)相結合。