3.3 Linux 内核网络框架

Linux 系统对网络数据包的处理（即图 3-1 中的内核网络协议栈流程）看似是一套固定且封闭的机制，实际上并非如此。从 Linux 内核 2.4 版本开始，内核引入了一套通用的过滤框架 —— Netfilter，允许外界对网络数据包在内核协议栈流转过程中进行代码干预。

Linux 系统中的各类网络功能，如地址转换、封包处理、地址伪装、协议连接跟踪、数据包过滤、透明代理、带宽限速和访问控制等，都是基于 Netfilter 提供的代码拦截机制实现的。可以说，Netfilter 是整个 Linux 网络系统最重要（没有之一）的基石。