netfilter/iptables 系统netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。我马上会详细讨论这些规则以及如何建立这些规则并将它

当Client端收到Server的SYN+ACK应答后，其状态变为ESTABLISHED，并发送ACK包给Server；             如果此时ACK在网络中丢失，那么Server端该TCP连接的状态为SYN_RECV，并且依次等待3秒、6秒、12秒后重新发送SYN+ACK包，以便Client重新发送ACK包，以便Client重新发送ACK包。              

iptables 指令语法：         iptables [-t table] command [match] [-j target/jump]         -t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，          当未指定规则表时，则一律视为是 filter。各个规则表的功能如下： 

案例需求公司使用一台运行RHEL5系统的服务器作为网关，分别连接三个网络，其中LAN1为普通员工电脑所在的局域网，LAN2为DNS缓存等服务器所在的局域网。eth0通过10M光纤接入Internet（如下页图所示）。为了有效的管理网络环境及增强内部网络的安全性，需要配置iptables防火墙规则实现基于IP地址和端口的过滤控制需求描述入站控制：允许从Internet访问本机的2

http://blog.csdn.net/russell_tao/article/details/7160071http://blog.csdn.net/tianmohust/article/details/6677985http://blog.chinaunix.net/uid-24517549-id-4051156.html