Netfilter是Linux 2.4内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用

中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转

换（Network Address Translation，NAT），以及基于用户及媒体访问控制（Media

Access Control，MAC）地址的过滤和基于状态的过滤、包速率限制等。

特性：

内核空间，集成在Linux内核中

扩展各种网络服务的结构化底层框架

内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、

PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一

个命令工具（iptables）向其写入规则

由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放

在链（chain）上