time模块是由xt_time.ko模块提供的，主要的作用就是指定某条规则的生效时间，例如，限制上班时间大家不允许访问www.taobao.com,然后下班的时候再允许大家访问 iptables -A FORWARD -p tcp -i eth0 -o eth1 -d www.taobao.com -m time –weekd……

有时候我们需要限制局域网中的主机一个小时或者一天能够下载的数据包的总量，因为总是有人一直在下载个没完没了…,这个时候我们就可以使用quota来控制 举个例子：

单位是字节，quota的成立条件是小……

一、 内置匹配方式 1：接口的匹配方式       在Netfilter内置的匹配方式中，我们可以将数据包“进出”的“接口”作为匹配的条件：例如        iptables -t filter -A forward -i eth0 -o eth1 -j Drop        其中使用了-i 和 -o 连个参数来标明数据包的进出方向，……

NAPT （Network Address Port Translation） 一个可以让一个公网IP多个机器使用（但是不能使用相同端口的服务） 有时候，我们只有一个公网IP，然后我们可能想跑Apache服务和Mail服务，当然，放一个机器当然可以，我们说的是如果我们想分别放到局域网的两台主机上 如下图： Web服务器： 只需要80端口和……

Netfilter与NAT NAT , Network Address Translation , 网络地址转换 具体的作用是什么呢？ 举例来说，其实就是路由器的作用，局域网的数据包通过NAT 功能 访问网络中的主机，NAT主要是将数据包中的Source IP修改为一个可用的外网IP，因为刚开始是一个内网IP地址的话，返回的数据包可找不到……

Netfilter匹配规则 在Netfilter中，我们的规则有很多，是按照先后顺序插入的我们的各个链中的 那么，一个包是如何匹配我们的规则的呢？ First Match： 即第一个匹配的规则生效，生效后，剩余的都不在进行判断 有一种特殊情况就是如果没有匹配任何的规则怎么办？ 其实，每个链的最底端都有一个默认的策略，当一个数据包不符合上边……

linux默认自带一个功能及其强大的防火墙，也就是我们常说的iptables 我们先看一下iptables的结构 我们可以看到，主要分为4个表：filter,nat,mangle和raw 其中，各自的功能分别是： filter:filter是Netfileter(iptables)中最重要的机制，其任务是执行数据包的过滤操作，也就是起到防……

防火墙，顾名思义，用来防火的么，那么最重要就是决定哪些属于火，哪些不属于火…. linux的防火墙，可以分为3类： 1：各层的表头信息 链路层： 链路层有很多信息，但是，最重要肯定是我们的MAC地址信息，我们可以通过MAC地址信息来决定这个数据是不是属于“火”，到底该放行，还是阻挡   网络层： 网络层有很多数据可以……

端口的所用： 正是因为端口存在，让我们可以在一个服务器上运行多个服务，例如HTTP的80端口，SSH的22端口，以及UDP的53端口 在TCP/IP规范中，当一个网络应用启动时，会占用一个端口。当客户端的网络应用启动时，也会占用一个端口 我们把所有可以用的端口分为如下几类： 1：公认的端口:0-1023 2:注册的端口：1024-4915……

要学习防火墙的知识，首先，我们需要了解标准网络，我们不需要OSI的7层架构，我们只需要了解TCP/IP的标准就可以了 应用层： 常用的应用层通信协议包括HTTP,HTTPS,SMTP,POP3及FTP等，这些协议的主要共性就是从客户端与服务端进行交互，例如我们常用的邮件收发使用的POP3   传输层： 传输层主要定义了数据的传输……