iptables-1.1.9指南

核心提示： Note 严格地说，iptables并不需要CONFIG_PACKET，iptables-1.1.9指南(5)，但是它有很多用处（译者注：其他程序需要），所以就选上了，比如， -m limit --limit 3/minute 的作用是每分钟最多匹配三个数据包，当然，你不想要

Note

严格地说，iptables并不需要CONFIG_PACKET，但是它有很多用处（译者注：其他程序需要），所以就选上了。当然，你不想要，不选就是了。（译者注：建议还是选的为好）

CONFIG_NETFILTER - 允许计算机作为网关或防火墙。这个是必需的，因为整篇文章都要用到这个功能。我想你也需要这个，谁叫你学iptables呢

当然，你要给网络设备安装正确的驱动程序，比如，Ethernet 网卡, PPP 还有 SLIP 。 上面的选项，只是在内核中建立了一个框架， iptables确实已经可以运行，但不能做任何实质性的工作。我们需要更多的选项。以下给出内核2.4.9的选项和简单的说明：

CONFIG_IP_NF_CONNTRACK - 连接跟踪模块，用于 NAT（网络地址转换） 和 Masquerading（ip地址伪装），当然，还有其他应用。如果你想把LAN中的一台机子作为防火墙，这个模块你算选对了。脚本rc.firewall.txt 要想正常工作，就必需有它的存在。

CONFIG_IP_NF_FTP - 这个选项提供针对FTP连接进行连接跟踪的功能。一般情况下，对FTP连接进行连接跟踪是很困难的，要做到这一点，需要一个名为helper的动态链接库。此选项就是用来编译helper的。如果没有这个功能，就无法穿越防火墙或网关使用FTP。

CONFIG_IP_NF_IPTABLES - 有了它，你才能使用过滤、伪装、NAT。它为内核加入了iptables标识框架。没有它，iptables毫无作用。

CONFIG_IP_NF_MATCH_LIMIT - 此模块并不是十分必要，但我在例子rc.firewall.txt中用到了。它提供匹配LIMIT的功能，以便于使用一个适当的规则来控制每分钟要匹配的数据包的数量。比如， -m limit --limit 3/minute 的作用是每分钟最多匹配三个数据包。这个功能也可用来消除某种DoS攻击。