Netfilter/Iptables的防火墙功能介绍

核心提示： --psd-lo-ports-weight特权目的端口的优先级，即目标端口(<=1024)的优先级--psd-hi-ports-weight非特权目的端口的优先级(>1024).举例：iptables -A INPUT -m psd -j DROPCONFIG_IP_NF_MA

--psd-lo-ports-weight

特权目的端口的优先级，即目标端口(<=1024)的优先级

--psd-hi-ports-weight

非特权目的端口的优先级(>1024).

举例：iptables -A INPUT -m psd -j DROP

CONFIG_IP_NF_MATCH_RPC,支持两个模块ip_conntrack_rpc_udp和ip_conntrack_rpc_tcp (用来分别跟踪UDP和TCP的端口映射请求)，在iptabIe 中添加record_rpc(用来匹配是否包的源地址已经发过端口映射请求，或者是一个新的发往端口映射的GET请求，以允许RPC过滤)

seqoffset.patch - 新的NAT中的 API 函数. 此API函数隐藏了所有的协议翻译(例如：ftp/irc)中的包重设大小和计算序列号的细节问题

要求:至少内核 2.4.2以上!

dropped-table-patch from netfilter patch-o-matic

CONFIG_IP_NF_NAT_SNMP_BASIC 基本的SNMP地址翻译支持. 如同RFC 2962中描述的，是 SNMP-ALG中的“基本”条目;它通过修改SNMP有效载荷中的IP地址来匹配IP层的地址翻译映射.

CONFIG_IP_NF_MATCH_STRING :允许在整个包里匹配字符串.

iptables -A INPUT -m string --string cmd.exe -j QUEUE

tcp-window-tracking.patch ：通过Guido van Rooij的论文"IP过滤器中的实时状态TCP包过滤“（ Real Stateful TCP Packet Filtering in IP Filter），实现了TCP连接跟踪.它包含新的支持已建立的连接控制的TCP连接跟踪. 并添加了窗口缩放支持(Window scaling).

CONFIG_IP_NF_MATCH_TTL option:允许用户根据包的TTL值来匹配包.

CONFIG_IP_NF_TARGET_ULOG：支持更多高级的包日志记录机制，目录libiptulog/ 下包含有收到的ULOG消息库.

更多信息：http://www.gnumonks.org/projects/ulogd

CONFIG_IP6_NF_TARGET_LOG ：在ip6tables中添加LOG target.

CONFIG_IP6_NF_TARGET_REJECT：在ip6tables中添加拒绝目标( REJECT target). 请注意此处的 icmp-types与icmpv6 types不同(更多消息请看：ip6tables -j REJECT -h)

ipv6-ports.patch：ipv6 有IPv6的自己的端口匹配形式.

注意: 以上高亮显示的补丁并不表示你应该编译进你的内核中。仅表示我发现的有趣的功能。你可以把你感兴趣的补丁从目录patch-o-matic 中拷贝到usr/src/linux，并且运行 patch -R -p1 < name_of_the_patch.