2. iptables组件
    iptables是Linux中实现对防火墙过滤规则的管理和访问的可扩展模块，它建立在Netfilter基础之上。iptables程序的功能都是属于封包（Packet）阶层的工作，而这些工作都是利用不同的“规则表”（Rule Tables）来定义。在iptables中包含Filter Table（数据包过滤表）、NAT Table（网络地址转换表）与Mangle Table（数据包处理表）三个默认的规则表，而每一个Rule Table又是由数个“链”（Chain）所组成。如图4所示：
    图4　默认的Rule Table和Chain
    在IPv6环境下，使用ip6tables命令。其主要语法如下：
    ip6tables [- FXZ]
    F：清除所有的已预定的规则
    X：清除所有使用者建立的表
    Z：将所有的链的计数与流量统计都归零
    ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD,PREROUTING, POSTROUTING]
    [-p TCP,UDP] [-s IP/network] [--sport ports] [-d IP/network]
    [--dport ports] [-j ACCEPT,DROP]
    -t：定义表　
    tables：表的名称
    INPUT：数据包为输入主机的方向
    OUTPUT：数据包为输出主机的方向
    FORWARD：数据包为不进主机而向外转发的方向
    PREROUTING：数据包在进入路由之前进行的工作
    POSTROUTING：数据包进入路由之后进行的工作
    TCP：TCP协议的数据包
    UDP：UDP协议的数据包
    -s：数据包的源地址或网络
    --sport：数据包的源端口号
    -d：数据包的目的地址或网络
    --dport：数据包的目的端口号
    ACCEPT：接受该数据包
    DROP：丢弃数据包

(责任编辑：adminadmin2008)