3.3 Linux 内核网络框架

Linux 系统处理网络数据包（见图 3-1）看似是一套固定封闭的机制，实际情况并非如此。从 Linux 内核 2.4 版本开始，内核引入了一套通用的过滤框架 —— Netfilter，使得“外界”可以在数据包流经内核协议栈时进行干预。

Linux 系统中的各类网络功能，如地址转换、封包处理、地址伪装、协议连接跟踪、数据包过滤、透明代理、带宽限速和访问控制等，都是基于 Netfilter 提供的代码拦截机制实现的。可以说，Netfilter 是整个 Linux 网络系统最重要（没有之一）的基石。