Netfilter/Iptables的防火墙功能介绍

核心提示： # you can also match the other way around:iptables -p tcp -dport 23 -m iplimit ! --iplimit-above 2 -j ACCEPT# 每个C类地址允许的http连接的并发最大个数为16iptables -

# you can also match the other way around:

iptables -p tcp -dport 23 -m iplimit ! --iplimit-above 2 -j ACCEPT

# 每个C类地址允许的http连接的并发最大个数为16

iptables -p tcp -dport 80 -m iplimit --iplimit-above 16 --iplimit-mask 24 -j REJECT

#允许每个IP地址可同时发起4个HTTP连接

iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJE

CT

#允许整个A类地址中每个地址的HTTP访问为4

iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT

CONFIG_IP_NF_IRC: IRC支持模块，允许 DCC和NAT、连接跟踪一起工作。此补丁依赖丢弃表(dropped-table)和段偏移(seqoffset).

masquerade+fwmark.patch :一种复杂的路由设置，依靠防火墙的标记来路由，和 MASQUERADE NAT target组合来用

nat+conntrack-hashsize.patch 设置连接跟踪代码和NAT代码中的模块参数(hashsize=xxx) hash表的大小,NAT的缺省值为内存的

1/16384(对于大多数机器来说，比先前的缺省值64好多了).

CONFIG_IP_NF_POOL, 提供了一种从IP地址段中的一个位的位映射，它依赖于源或目的地址是否在地址池中设置了位。它也提供了一个目标池

CONFIG_IP_NF_MATCH_PSD, 支持端口扫描检测(PSD:PortScanDetection). 可以检测TCP和UDP端口扫描. 它源自Solar Designer磗 scanlogd.

支持的选项:

--psd-weight-threshold

从同一主机发往不同目的端口的TCP/UDP包的总的优先级，被用来作为端口扫描次序

--psd-delay-threshold

由同一主机发往不同目的端口的包的延迟 (in hundredths of second) ，用来作为可能的端口扫描子次序