报文过滤和连接跟踪可以说是Netfilter提供的两大基本功能。前者被大多数人熟知，因为我们对防火墙的第一印象就是可以阻止有害的报文伤害计算机；而后者就没这么有名了，很多人甚至不知道Netfilter有这项功能。

每一条iptables配置的规则(rule)都包含了匹配条件(match)部分和动作(target)。当报文途径HOOK点时，Netfilter会逐个遍历挂在该钩子点上的表的rule,若报文满足rule的匹配条件，内核就会执行动作(target)。

每一条iptables配置的rule都包含了匹配条件(match)部分和目标(target)。当报文途径HOOK点时，Netfilter会逐个遍历挂在该钩子点上的表的rule,若报文满足rule的匹配条件，内核就会执行目标(target)。

在(一)中说到，报文在内核协议栈中会途经5个HOOK点，在每个HOOK点上会依次执行链表上的钩子函数，那么这些钩子函数是如何与用户使用iptables下发的各个rule联系起来的呢？这些rule又是如何存储的呢？ 本文详细描…

本系列不是介绍How to配置iptables的文章。因为网络上已经有很多这类型的教程了，其中一些还不错(比如链接).