文档介绍：1 序言
11 为什么要写这个指南
我发现目前所有的HOWTO都缺乏Linux 24x 内核中的Iptables和Netfilter 函数的信息,于是我试图回答一些问题，比如状态匹配。我会用插图和例子 rcfirewalltxt 加以说明，此处的例子可以在你的/etc/rcd/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。
还有一个小脚本rcflush-iptablestxt，我写它只是为使你在配置它的时候能象我一样有成功的感觉。
--------------------------------------------------------------------------------
12 指南是如何写的
我请教了Marc Boucher 及netfilter团队的其他核心成员。对他们的工作以及对我在为boingworldcom 书写这个指南时的帮助表示极大的谢意，现在这个指南在我自己的站点frozentuxnet上进行维护。这个文档将一步一步教你setup过程，让你对iptables包有更多的了解。这大部分的东西都基于例子rcfirewall 文件，因为我发现这是学习iptables的一个好方法。我决定自顶向下地跟随rcfirewall 文件来学习 iptables。虽然这样会困难一些，但更有逻辑。当你碰到不懂的东西时再来查看这个文件。
--------------------------------------------------------------------------------
13 文中出现的术语
文中包含了一些术语，你应该有所了解。这里有一些解释，并说明了本文中如何使用它们。
DNAT - Destination Network Address Translation 目的网络地址转换。 DNAT是一种改变数据包目的 ip地址的技术，经常和SNAT联用，以使多台服务器能共享一个ip地址连入Internet，并且继续服务。通过对同一个ip地址分配不同的端口，来决定数据的流向。
Stream - 流 是指发送和接收的数据包和通信的双方都有关系的一种连接（译者注：本文中，作者把连接看作是单向的，流表示双向的连接）。一般的，这个词用于描述在两个方向上发送两个或三个数据包的连接。对于TCP，流意味着连接，它发送了一个SYN，然后又回复SYN/ACK。但也可能是指这样的连接，发送一个SYN，回复ICMP主机不可达信息。换句话说，我使用这个词很随意。
SNAT - Source Network Address Translation源网络地址转换。这是一种改变数据包源ip地址的技术，经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用，因为IPv4的地址已快用完了，IPv6将解决这个问题。
State - 状态 指明数据包处于什么状态。状态在RFC 793 - Transmission Control Protocol中定义，或由用户在Netfilter/iptables中自定义。需要注意的是Netfilter设定了一些关于连接和数据包的状态，但没有完全使用使用RFC 793的定义。
User space - 用户空间，指在内核外部或发生在内核外部的任何东西。例如，调用 iptables -h 发生在内核外部，但iptables -A FORWARD -p tcp -j ACCEPT （部分地）发生在内核内部，因为一条新的规则加入了规则集。
Kernel space - 内核空间 ，与用户空间相对，指那些发生在内核内部。
Userland - 参见用户空间
target - 这个词在后文中有大量的应用，它表示对匹配的数据包所做的操作。
--------------------------------------------------------------------------------
2 准备阶段
这一章是学习iptables的开始，它将帮助你理解Netfilter和iptables在Linux中扮演的角色。它会告诉你如何配置、安装防火墙，你的经验也会随之增长。当然，要想达到你的目标，是要花费时间，还要有毅力。（ 译者注：听起来很吓人的:) ）
--------------------------------------------------------------------------------
21 哪里能取得iptables
iptables 可以从wwwnetfilterorg 下载，网站中的FAQs也是很好的教程。iptables 也使用一些内核空间，