Linux为我们提供了一个非常优秀的防火墙工具，它就是netfilter/iptables(http: //www.netfilter.org/)。它完全是免费的，并且可以在一台低配置的老机器上很好地运行。netfilter/iptables功能强大，使用灵活，并且可以对流入和流出的信息进行细化的控制。

事实上，每一个主要的Linux版本中都有不同的防火墙软件套件。Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序。第一代是Linux 内核1.1版本所使用的Alan Cox从BSD Unix中移植过来的ipfw。

在2.0版的内核中，Jos Vos和其它一些程序员对ipfw进行了扩展，并且添加了ipfwadm用户工具。在2.2版内核中， Russell和Michael Neuling做了一些非常重要的改进，也就是在该内核中，Russell添加了帮助用户控制过虑规则的ipchains工具。后来，Russell又完成了其名为netfilter(http://www.netfilter.org)的内核框架。这些防火墙软件套件一般都比其前任有所改进，表现越来越出众。

Netfilter/iptables已经包含在了2.4以后的内核当中，它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。 netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。netfilter/iptables是从ipchains和 ipwadfm(IP防火墙管理)演化而来的，为了简单起见，下文中，我就将其统一称为iptables。

iptables的其它一些好的用法是为Unix、Linux和BSD个人工作站创建一个防火墙，当然也可以为一个子网创建防火墙以保护其它的系统平台。 iptables只读取数据包的头，所以不会给信息流增加负担，此外它也无需进行验证。如果要想获得更好的安全性，可以将其和一个代理服务器(比如 squid)相结合。