CONFIG_IP_NF_CONNTRACK - 连接跟踪模块,用于 NAT(网络地址转换) 和
Masquerading(ip 地址伪装),当然,还有其他应用。如果你想把 LAN 中的一台机子作为
防火墙,这个模块你算选对了。脚本 rc.firewall.txt 要想正常工作,就必需有它的存在。
CONFIG_IP_NF_FTP - 这个选项提供针对 FTP 连接进行连接跟踪的功能。一般情况下,
对 FTP 连接进行连接跟踪是很困难的,要做到这一点,需要一个名为 helper 的动态链接库。
此选项就是用来编译 helper 的。如果没有这个功能,就无法穿越防火墙或网关使用 FTP。
CONFIG_IP_NF_IPTABLES - 有了它,你才能使用过滤、伪装、NAT。它为内核加入
了 iptables 标识框架。没有它,iptables 毫无作用。
CONFIG_IP_NF_MATCH_LIMIT - 此模块并不是十分必要,但我在例子 rc.firewall.txt
中用到了。它提供匹配 LIMIT 的功能,以便于使用一个适当的规则来控制每分钟要匹配的
数据包的数量。比如, -m limit --limit 3/minute 的作用是每分钟最多匹配三个数据包。这个
功能也可用来消除某种 DoS 攻击。
CONFIG_IP_NF_MATCH_MAC - 选择这个模块,可以根据 MAC 地址匹配数据包。例
如,我们想要阻塞使用了某些 MAC 地址的数据包,或阻塞某些计算机的通信,用这个很
容易。因为每个 Ethernet 网卡都有它自己的 MAC 地址,且几乎从不会改变。但我在
rc.firewall.txt 中没有用到这个功能,其他例子也未用到。(译者注:这又一次说明了学习
是为将来打基础:) )
CONFIG_IP_NF_MATCH_MARK - 这个选项用来标记数据包。对数据包做 MARK(标
记)操作,我们就可以在后面的表中用这个标记来匹配数据包。后文有详细的说明。
CONFIG_IP_NF_MATCH_MULTIPORT - 选择这个模块我们可以使用端口范围来匹配
数据包,没有它,是无法做到这一点的。
CONFIG_IP_NF_MATCH_TOS - 使我们可以设置数据包的 TOS(Type Of Service 服务
类型)。这个工作也可以用命令 ip/tc 完成,还可在 mangle 表中用某种规则设定。
CONFIG_IP_NF_MATCH_TCPMSS - 可以基于 MSS 匹配 TCP 数据包。
CONFIG_IP_NF_MATCH_STATE - 相比较 ipchains 这是最大的更新,有了它,我们可
以对数据包做状态匹配。比如,在某个 TCP 连接的两个方向上已有通信,则这个连接上的
数据包就被看作 ESTABLISHED(已建立连接)状态。在 rc.firewall.txt 里大量使用了此模
块的功能。
CONFIG_IP_NF_MATCH_UNCLEAN - 匹配那些不符合类型标准或无效的
P、TCP、UDP、ICMP 数据包(译者注:之所以此模块名为 UNCLEAN,可以这样理解,
凡不是正确模式的包都是脏的。这有些象操作系统内存管理中的“脏页”,那这里就可以称
作“脏包”了,自然也就 UNCLEAN 了)。我们一般丢弃这样的包,但不知这样做是否正确。
另外要注意,这种匹配功能还在实验阶段,可能会有些问题。
CONFIG_IP_NF_MATCH_OWNER - 根据套接字的拥有者匹配数据包。比如,我们只
允许 root 访问 Internet。在 iptables 中,这个模块最初只是用一个例子来说明它的功能。同
样,这个模块也处于实验阶段,还无法使用。
CONFIG_IP_NF_FILTER - 这个模块为 iptables 添加基本的过滤表,其中包含
INPUT、FORWARD、OUTPUT 链。通过过滤表可以做完全的 IP 过滤。只要想过滤数据包,
评论0
最新资源