分类: LINUX
2014-11-03 15:48:42
在内核配置文件中要启用的一些较重要的选项包括Netfilter连接跟踪、日志记录和包过滤。(请记住iptables通过使用由Netfilter提供的内核中框架来建立一个策略。)
在Network Packet Filtering Framework(Netfilter)一节中还有两个额外的配置节--Core Netfilter Configuration(核心Netfilter配置)和IP:Netfilter Configuration(IP:Netfilter配置)。
1. 核心Netfilter配置
核心Netfilter配置节中包含的一些重要选项都应该被启用:
Comment match support(comment匹配支持);
FTP support(FTP协议支持);
Length match support(数据包长度匹配支持);
Limit match support(limit匹配支持);
MAC address match support(MAC地址匹配支持);
MARK target support(MARK目标支持);
Netfilter connection tracking support(Netfilter连接跟踪支持);
Netfilter LOG over NFNETLINK interface(Netfilter通过NFNETLINK接口记录日志);
Netfilter netlink interface(Netfilter netlink接口);
Netfilter Xtables support(Netfilter Xtables支持);
State match support(state匹配支持);
String match support(string匹配支持)。
2. IP:Netfilter配置
在完成核心Netfilter配置之后,我们开始进入IP:Netfilter配置节。本节需要启用的选项如下所示:
ECN target support(ECN目标支持);
Full NAT(完整NAT支持);
IP address range match support(ip地址范围匹配支持);
IP tables support(IP tables支持,filtering/masq/NAT需要);
IPv4 connection tracking support(IPv4连接跟踪支持,NAT需要);
LOG target support(LOG目标支持);
MASQUERADE target support(MASQUERADE目标支持);
Owner match support(owner匹配支持);
Packet filtering(包过滤支持);
Packet mangling(包修改支持,常用于改变包的路由);
raw table support(raw表支持,NOTRACK/TRACE需要);
Recent match support(recent匹配支持);
REJECT target support(REJECT目标支持);
TOS match support(TOS匹配支持);
TOS target support(TOS目标支持);
TTL match support(TTL匹配支持);
TTL target support(TTL目标支持);
ULOG target support(ULOG目标支持)。
在2.6系列内核中,个别编译节经过了重大的重组。在旧的2.4系列内核中,IP:Netfilter配置节位于Networking选项之下,而且仅当Network Packet Filtering选项被启用时才能看到。
