iptables-1.1.9指南

核心提示： CONFIG_IP_NF_MATCH_OWNER - 根据套接字的拥有者匹配数据包，比如，iptables-1.1.9指南(7)，我们只允许root访问Internet，在iptables中，使用这个比SNAT好，因为MASQUERADE 不需要预先知道连接Internet的IP，这个模块

CONFIG_IP_NF_MATCH_OWNER - 根据套接字的拥有者匹配数据包。比如，我们只允许root访问Internet。在iptables中，这个模块最初只是用一个例子来说明它的功能。同样，这个模块也处于实验阶段，还无法使用。

CONFIG_IP_NF_FILTER - 这个模块为iptables添加基本的过滤表，其中包含INPUT、FORWARD、OUTPUT链。通过过滤表可以做完全的IP过滤。只要想过滤数据包，不管是接收的还是发送的，也不管做何种过滤，都必需此模块。

CONFIG_IP_NF_TARGET_REJECT - 这个操作使我们用ICMP错误信息来回应接收到的数据包，而不是简单地丢弃它。有些情况必须要有回应的，比如，相对于ICMP和UDP来说，要重置或拒绝TCP连接总是需要一个TCP RST包。

CONFIG_IP_NF_TARGET_MIRROR - 这个操作使数据包返回到发送它的计算机。例如，我们在INPUT链里对目的端口为HTTP的包设置了MIRROR操作，当有人访问HTTP时，包就被发送回原计算机，最后，他访问的可能是他自己的主页。（译者注：应该不难理解为什么叫做MIRROR了）

CONFIG_IP_NF_NAT - 顾名思义，本模块提供NAT功能。这个选项使我们有权访问nat表。端口转发和伪装是必需此模块的。当然，如果你的LAN里的所有计算机都有唯一的有效的 IP地址，那在做防火墙或伪装时就无须这个选项了。rc.firewall.txt 是需要的

CONFIG_IP_NF_TARGET_MASQUERADE - 提供MASQUERADE（伪装）操作。如果我们不知道连接Internet的IP，首选的方法就是使用MASQUERADE，而不是DNAT或SNAT。换句话说，就是如果我们使用PPP或SLIP等连入Internet，由DHCP或其他服务分配IP，使用这个比SNAT好。因为MASQUERADE 不需要预先知道连接Internet的IP，虽然对于计算机来说MASQUERADE要比NAT的负载稍微高一点。