iptables內(nèi)核配置：

　　哪里能取得iptables：

　　iptables 可以從官網(wǎng)下載，網(wǎng)站中的FAQs也是很好的教程。iptables 也使用一些內(nèi)核空間，可以在用make configure配置內(nèi)核的過程中配置，下面會介紹必要的步驟。

　　iptables內(nèi)核配置：

　　為了運(yùn)行iptables，需要在內(nèi)核配置期間，選擇以下一些選項(xiàng)，不管你用make config或其他命令。

　　CONFIG_PACKET - 允許程序直接訪問網(wǎng)絡(luò)設(shè)備(譯者注：最常用的就是網(wǎng)卡了)，象tcpdump 和 snort就要使用這個功能。

嚴(yán)格地說，iptables并不需要CONFIG_PACKET，但是它有很多用處(譯者注：其他程序需要)，所以就選上了。當(dāng)然，你不想要，不選就是了。(譯者注：建議還是選的為好)

　　CONFIG_NETFILTER - 允許計算機(jī)作為網(wǎng)關(guān)或防火墻。這個是必需的，因?yàn)檎恼露家玫竭@個功能。我想你也需要這個，誰叫你學(xué)iptables呢:)

　　當(dāng)然，你要給網(wǎng)絡(luò)設(shè)備安裝正確的驅(qū)動程序，比如，Ethernet 網(wǎng)卡, PPP 還有 SLIP 。 上面的選項(xiàng)，只是在內(nèi)核中建立了一個框架， iptables確實(shí)已經(jīng)可以運(yùn)行，但不能做任何實(shí)質(zhì)性的工作。我們需要更多的選項(xiàng)。以下給出內(nèi)核2.4.9的選項(xiàng)和簡單的說明：

　　CONFIG_IP_NF_CONNTRACK - 連接跟蹤模塊，用于 NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換) 和 Masquerading(ip地址偽裝)，當(dāng)然，還有其他應(yīng)用。如果你想把LAN中的一臺機(jī)子作為防火墻，這個模塊你算選對了。腳本rc.firewall.txt 要想正常工作，就必需有它的存在。

　　CONFIG_IP_NF_FTP - 這個選項(xiàng)提供針對FTP連接進(jìn)行連接跟蹤的功能。一般情況下，對FTP連接進(jìn)行連接跟蹤是很困難的，要做到這一點(diǎn)，需要一個名為helper的動態(tài)鏈接庫。此選項(xiàng)就是用來編譯helper的。如果沒有這個功能，就無法穿越防火墻或網(wǎng)關(guān)使用FTP。

　　CONFIG_IP_NF_IPTABLES - 有了它，你才能使用過濾、偽裝、NAT。它為內(nèi)核加入了iptables標(biāo)識框架。沒有它，iptables毫無作用。

　　CONFIG_IP_NF_MATCH_LIMIT - 此模塊并不是十分必要，但我在例子rc.firewall.txt中用到了。它提供匹配LIMIT的功能，以便于使用一個適當(dāng)?shù)囊?guī)則來控制每分鐘要匹配的數(shù)據(jù)包的數(shù)量。比如， -m limit --limit 3/minute 的作用是每分鐘最多匹配三個數(shù)據(jù)包。這個功能也可用來消除某種DoS攻擊。

　　CONFIG_IP_NF_MATCH_MAC - 選擇這個模塊，可以根據(jù)MAC地址匹配數(shù)據(jù)包。例如，我們想要阻塞使用了某些MAC地址的數(shù)據(jù)包，或阻塞某些計算機(jī)的通信，用這個很容易。因?yàn)槊總€Ethernet網(wǎng)卡都有它自己的MAC地址，且?guī)缀鯊牟粫淖儭５以?rc.firewall.txt中沒有用到這個功能，其他例子也未用到。(譯者注：這又一次說明了學(xué)習(xí)是為將來打基礎(chǔ):) )

　　CONFIG_IP_NF_MATCH_MARK - 這個選項(xiàng)用來標(biāo)記數(shù)據(jù)包。對數(shù)據(jù)包做 MARK(標(biāo)記)操作，我們就可以在后面的表中用這個標(biāo)記來匹配數(shù)據(jù)包。后文有詳細(xì)的說明。

　　CONFIG_IP_NF_MATCH_MULTIPORT - 選擇這個模塊我們可以使用端口范圍來匹配數(shù)據(jù)包，沒有它，是無法做到這一點(diǎn)的。

　　CONFIG_IP_NF_MATCH_TOS - 使我們可以設(shè)置數(shù)據(jù)包的TOS(Type Of Service 服務(wù)類型)。這個工作也可以用命令ip/tc完成，還可在mangle表中用某種規(guī)則設(shè)定。

　　CONFIG_IP_NF_MATCH_TCPMSS - 可以基于MSS匹配TCP數(shù)據(jù)包。

　　CONFIG_IP_NF_MATCH_STATE - 相比較ipchains 這是最大的更新，有了它，我們可以對數(shù)據(jù)包做狀態(tài)匹配。比如，在某個TCP連接的兩個方向上已有通信，則這個連接上的數(shù)據(jù)包就被看作ESTABLISHED(已建立連接)狀態(tài)。在rc.firewall.txt 里大量使用了此模塊的功能。

　　CONFIG_IP_NF_MATCH_UNCLEAN - 匹配那些不符合類型標(biāo)準(zhǔn)或無效的 P、TCP、UDP、ICMP數(shù)據(jù)包(譯者注：之所以此模塊名為UNCLEAN，可以這樣理解，凡不是正確模式的包都是臟的。這有些象操作系統(tǒng)內(nèi)存管理中的“臟頁”，那這里就可以稱作“臟包”了，自然也就UNCLEAN了)。我們一般丟棄這樣的包，但不知這樣做是否正確。另外要注意，這種匹配功能還在實(shí)驗(yàn)階段，可能會有些問題。

　　CONFIG_IP_NF_MATCH_OWNER - 根據(jù)套接字的擁有者匹配數(shù)據(jù)包。比如，我們只允許root訪問Internet。在iptables中，這個模塊最初只是用一個例子來說明它的功能。同樣，這個模塊也處于實(shí)驗(yàn)階段，還無法使用。

　　CONFIG_IP_NF_FILTER - 這個模塊為iptables添加基本的過濾表，其中包含INPUT、FORWARD、OUTPUT鏈。通過過濾表可以做完全的IP過濾。只要想過濾數(shù)據(jù)包，不管是接收的還是發(fā)送的，也不管做何種過濾，都必需此模塊。

　　CONFIG_IP_NF_TARGET_REJECT - 這個操作使我們用ICMP錯誤信息來回應(yīng)接收到的數(shù)據(jù)包，而不是簡單地丟棄它。有些情況必須要有回應(yīng)的，比如，相對于ICMP和UDP來說，要重置或拒絕TCP連接總是需要一個TCP RST包。

　　CONFIG_IP_NF_TARGET_MIRROR - 這個操作使數(shù)據(jù)包返回到發(fā)送它的計算機(jī)。例如，我們在INPUT鏈里對目的端口為HTTP的包設(shè)置了MIRROR操作，當(dāng)有人訪問HTTP時，包就被發(fā)送回原計算機(jī)，最后，他訪問的可能是他自己的主頁。(譯者注：應(yīng)該不難理解為什么叫做MIRROR了)

　　CONFIG_IP_NF_NAT - 顧名思義，本模塊提供NAT功能。這個選項(xiàng)使我們有權(quán)訪問nat表。端口轉(zhuǎn)發(fā)和偽裝是必需此模塊的。當(dāng)然，如果你的LAN里的所有計算機(jī)都有唯一的有效的 IP地址，那在做防火墻或偽裝時就無須這個選項(xiàng)了。rc.firewall.txt 是需要的:)

　　CONFIG_IP_NF_TARGET_MASQUERADE - 提供MASQUERADE(偽裝)操作。如果我們不知道連接Internet的IP，首選的方法就是使用MASQUERADE，而不是DNAT或SNAT。換句話說，就是如果我們使用PPP或SLIP等連入Internet，由DHCP或其他服務(wù)分配IP，使用這個比SNAT好。因?yàn)镸ASQUERADE 不需要預(yù)先知道連接Internet的IP，雖然對于計算機(jī)來說MASQUERADE要比NAT的負(fù)載稍微高一點(diǎn)。

　　CONFIG_IP_NF_TARGET_REDIRECT - 這個操作和代理程序一起使用是很有用的。它不會讓數(shù)據(jù)包直接通過，而是把包重新映射到本地主機(jī)，也就是完成透明代理。

　　CONFIG_IP_NF_TARGET_LOG - 為iptables增加 LOG(日志)操作。通過它，可以使用系統(tǒng)日志服務(wù)記錄某些數(shù)據(jù)包，這樣我們就能了解在包上發(fā)生了什么。這對于我們做安全審查、調(diào)試腳本的幫助是無價的。

　　CONFIG_IP_NF_TARGET_TCPMSS - 這個選項(xiàng)可以對付一些阻塞ICMP分段信息的ISP(服務(wù)提供商)或服務(wù)。沒有ICMP分段信息，一些網(wǎng)頁、大郵件無法通過，雖然小郵件可以，還有，在握手完成之后，ssh可以但scp不能工作。我們可以用TCPMSS解決這個問題，就是使MSS(Maximum Segment Size)被鉗制于PMTU(Path Maximum Transmit Unit)。這個方法可以處理被Netfilter開發(fā)者們在內(nèi)核配置幫助中稱作“criminally brain-dead ISPs or servers”的問題。

　　CONFIG_IP_NF_COMPAT_IPCHAINS - ipchains 的，這只是為內(nèi)核從2.2轉(zhuǎn)換到2.4而使用的，它會在2.6中刪除。

　　CONFIG_IP_NF_COMPAT_IPFWADM - 同上，這只是 ipfwadm的暫時使用的兼容模式。

　　上面，我簡要介紹了很多選項(xiàng)，但這只是內(nèi)核2.4.9中的。要想看看更多的選項(xiàng)，建議你去Netfilter 看看patch-o-matic。在那里，有其他的一些選項(xiàng)。POM可能會被加到內(nèi)核里，當(dāng)然現(xiàn)在還沒有。這有很多原因，比如，還不穩(wěn)定，Linus Torvalds沒打算或沒堅(jiān)持要把這些補(bǔ)丁放入主流的內(nèi)核，因?yàn)樗鼈冞€在實(shí)驗(yàn)。

　　把以下選項(xiàng)編譯進(jìn)內(nèi)核或編譯成模塊，rc.firewall.txt才能使用。

　　CONFIG_PACKET  
 
　　CONFIG_NETFILTER  
 
　　CONFIG_IP_NF_CONNTRACK  
 
　　CONFIG_IP_NF_FTP  
 
　　CONFIG_IP_NF_IRC  
 
　　CONFIG_IP_NF_IPTABLES  
 
　　CONFIG_IP_NF_FILTER  
 
　　CONFIG_IP_NF_NAT  
 
　　CONFIG_IP_NF_MATCH_STATE  
 
　　CONFIG_IP_NF_TARGET_LOG  
 
　　CONFIG_IP_NF_MATCH_LIMIT  
 
　　CONFIG_IP_NF_TARGET_MASQUERADE  
 

　　以上是為保證 rc.firewall.txt正常工作而需要的最少的選項(xiàng)。iptables內(nèi)核配置就介紹到這里。

【編輯推薦】

iptables內(nèi)核配置

Iptables相關(guān)命令說明

Iptables相關(guān)命令