Netfilter/Iptables的防火墙功能介绍

核心提示： 注意: 下面列出的是v1.2.1a版本的，不是最新版本. 你可以用 'make patch-o-matic'命令列出补丁列表来.CONFIG_IP_NF_TARGET_BALANCE 选项, 类似DNAT：把负载均分到一段地址上，Netfilter/Iptables的防火墙

注意: 下面列出的是v1.2.1a版本的，不是最新版本. 你可以用 'make patch-o-matic'命令列出补丁列表来.

CONFIG_IP_NF_TARGET_BALANCE 选项, 类似DNAT：把负载均分到一段地址上。(`--to-dest 1.2.3.4-1.2.3.7')

CONFIG_IP_NF_TARGET_NETLINK, 替代ipchains中的 -o 选项，通过增加一个NETLINK目标，把丢弃的包发往用户空间

CONFIG_IP_NF_TARGET_SAME ，类似SNAT，利用一段地址(`--to-source 1.2.3.4-1.2.3.7'),对客户端的每个连接给相同的地址.

CONFIG_IP_NF_TARGET_TTL ，允许用户修改IP包中的TTL值。

CONFIG_IP_NF_MATCH_AH_ESP, 支持两个扩展匹配(`ah' and `esp')，允许在IPSec包中的AH或者ESP包头中匹配一段SPI范围

CONFIG_IP_NF_DROPTABLE . 将要被丢弃的包将通过这个表，来允许做日志记录，(此补丁有漏洞)

CONFIG_IP_NF_EGG: 连接跟踪。Connection tracking for eggdrop bot networks.

CONFIG_IP_NF_TARGET_FTOS ，允许你任意设置TOS值。从0x0-0xff

ftp-multi.patch 允许ftp连接跟踪和地址翻译到最多8个端口。在ip_conntrack_ftp和ip_nat_ftp模块中用 `ports='选项. 不然，将使用缺省21端口。另外，它还支持FXP(direct FTP 2 FTP transport).使用模块载入参数`fxp=1`可以来支持FXP

ftp-pasv-fix.patch ：可以在使用ip_conntrack_ftp.o模块的情况下，在FTP服务器上实现状态类型防火墙功能

CONFIG_IP_NF_MATCH_IPLIMIT 允许限制每个客户端(每个IP)并发TCP连接的最大个数

例如:

#每个客户端最多允许2个telnet连接

iptables -p tcp -dport 23 -m iplimit --iplimit-above 2 -j REJECT