在Linux下建立防火墙和QoS需要用到两个包：netfilter和iproute。它们为内核集成的过滤框架，iproute包含几个工具，Linux用户可以用之定制高级路由及流量整形。

本章介绍贯穿全局的工具，不过netfilter和iproute内涵非常丰富，只能做一定的介绍。更多内容请参考相应网站：netfilter、iproute

netfilter/iptables
netfilter是Linux内核的重要部分，用于处理安全、packet mangling等。netfilter的前端即iptables，它告诉内核在IP包在到达、经过或离开时用户希望如何处理。

创建防火墙可以阻止对你的网络一些恶意尝试，不过这一步离彻底的网络安全还很遥远。作为网络管理员或者安全顾问，要为你的网络设计合适的防火墙需要知道你要保护的是什么样的网络。完整讨论1000页也写不完，但是可以解释一下网络安全的一些原理。

看起来要防范外界的威胁，其实最大的危险来自你的网络内。怀有恶意的用户和侵入网络中不重要部分的黑客相比，内部威胁要坏的多。

除了内外部的攻击之外，还有更多攻击类型，称为MIM(Man In the Middle)攻击，包括网络两端信任的你不控制的路由器。

比如，我们在一个建筑里有一个网络，另外一个网络在别的地方的建筑里，要求ISP将这二者连接起来。由于ISP的网络分布，数据包将经过他们的路由器。如果我们没有加密VPN，中间人(我们的ISP)可以非常容易地提取通讯数据，找到密码、服务器的IP地址，远程控制端口等等。

理论读起来很无聊，你们脑袋中闪过的第一个念头肯定是跳过本章。可别，即便你已经知道所有理论上的概念，温习一下还是好事。

网络专家讨论在OSI层上工作的协议、设备和软件。当人们讨论当前的高性能的第3层交换机时，指的是能够处理OSI第3层任务的交换机，并希望你知道在该层有些什么任务。典型的交换机一般处理第2层上的任务。

第3层交换机超出本书的范围，此例只是说明你应当了解纯理论的OSI层。在本书较后章节你可以学到第7层上的过滤，就是如何过滤OSI第7层，我相信对你一定非常有吸引力。

网络的定义是，一组两台或者更多互联的具备相互通讯的计算机系统。网络通常有如下分类：

● LAN (Local Area Network)：局域网
● WAN (Wide Area Network)：广域网
● MAN (Metropolitan Area Network)：城域网
● CAN (Campus Area Network)：校域网
● SAN (Storage Area Network)：用于在服务器和存储设备间移动数据的高性能网络
● VPN (Virtual Private Network)：通过互联网建立的私有网
● HAN (Home Area Network)：家庭网。此词很少使用，这种情况大部分人还是用LAN表示

家用网通常连到楼里的交换机，与别人的计算机组成局域网。这些交换机连到城域网或者校域网上，它们再连到广域网，最后形成互联网。

出版的《Linux Firewalls and QoS》完整书名为《Designing and Implementing Linux Firewalls and QoS using netfilter, iproute2, NAT, and L7-filter》。出版日期October 2006。作者：Lucian Gheorghe

---

About the Author
Lucian Gheorghe has just joined the Global NOC of Interoute, Europe's largest voice and data network provider. Before Interoute, he was working as a senior network engineer for Globtel Internet, a significant Internet and Telephony Services Provider to the Romanian market. He has been working with Linux for more than 8 years putting a strong accent on security for protecting vital data from hackers and ensuring good quality services for internet customers. Moving to VoIP services he had to focus even more on security as sensitive billing data is most often stored on servers with public IP addresses. He has been studying QoS implementations on Linux to build different types of services for IP customers and also to deliver good quality for them and for VoIP over the public Internet. Lucian has also been programming with Perl, PHP, and Smarty for over 5 years mostly developing in-house management interfaces for IP and VoIP services.

---

翻译时，只求达意。

本翻译纯属个人兴趣，水平有限，欢迎高手指正，同时禁止有商业目的的转载。

---

目录
第1章 网络基础
  OSI模型
  TCP/IP模型
  比较OSI与TCP/IP
  IP地址、IP子网和IP超级网
  互联网工作原理
第2章 安全威胁
  第1层安全威胁
  第2层安全威胁
  第3层安全威胁
  第4层安全威胁
  第5、6、7层安全威胁
第3章 必要利器：netfilter和iproute2
  netfilter/iptables
  iproute2和通讯控制
第4章 用iptables实现NAT和伪装包
  简介NAT和PAT(NAPT)
  用iptables实现NAT
  用iptables实现伪装包
第5章 第7层过滤
  何时使用第7层过滤
  第7层过滤工作原理
  第7层过滤应用
  IPP2P：一个P2P匹配选项
  比较IPP2P和第7层过滤
第6章 研究小型网络事例
  Linux用作家用路由
  Linux用作中小企业的路由
第7章 研究中型网络事例
  例1：有异地办公场所的公司
  例2：典型的小型ISP
第8章 研究大型网络事例
  考虑大型层模型
  大型网络实例