iptables-1.1.9指南

核心提示： CONFIG_IP_NF_TARGET_REDIRECT - 这个操作和代理程序一起使用是很有用的，它不会让数据包直接通过，iptables-1.1.9指南(8)，而是把包重新映射到本地主机，也就是完成透明代理，因为它们还在实验， 把以下选项编译进内核或编译成模块， CONFIG_IP_N

CONFIG_IP_NF_TARGET_REDIRECT - 这个操作和代理程序一起使用是很有用的。它不会让数据包直接通过，而是把包重新映射到本地主机，也就是完成透明代理。

CONFIG_IP_NF_TARGET_LOG - 为iptables增加 LOG（日志）操作。通过它，可以使用系统日志服务记录某些数据包，这样我们就能了解在包上发生了什么。这对于我们做安全审查、调试脚本的帮助是无价的。

CONFIG_IP_NF_TARGET_TCPMSS - 这个选项可以对付一些阻塞ICMP分段信息的ISP（服务提供商）或服务。没有ICMP分段信息，一些网页、大邮件无法通过，虽然小邮件可以，还有，在握手完成之后，ssh可以但scp不能工作。我们可以用TCPMSS解决这个问题，就是使MSS（Maximum Segment Size）被钳制于PMTU（Path Maximum Transmit Unit）。这个方法可以处理被Netfilter开发者们在内核配置帮助中称作“criminally brain-dead ISPs or servers”的问题。

CONFIG_IP_NF_COMPAT_IPCHAINS - ipchains 的，这只是为内核从2.2转换到2.4而使用的，它会在2.6中删除。

CONFIG_IP_NF_COMPAT_IPFWADM - 同上，这只是 ipfwadm的暂时使用的兼容模式。

上面，我简要介绍了很多选项，但这只是内核2.4.9中的。要想看看更多的选项，建议你去Netfilter 看看patch-o-matic。在那里，有其他的一些选项。POM可能会被加到内核里，当然现在还没有。这有很多原因，比如，还不稳定，Linus Torvalds没打算或没坚持要把这些补丁放入主流的内核，因为它们还在实验。

把以下选项编译进内核或编译成模块，rc.firewall.txt才能使用。

*

CONFIG_PACKET

*

CONFIG_NETFILTER

*

CONFIG_IP_NF_CONNTRACK