WEB开发网
开发学院网络安全防火墙 Netfilter/Iptables的防火墙功能介绍 阅读

Netfilter/Iptables的防火墙功能介绍

 2007-03-04 12:42:36 来源:WEB开发网   
核心提示: --psd-lo-ports-weight特权目的端口的优先级,即目标端口(<=1024)的优先级--psd-hi-ports-weight非特权目的端口的优先级(>1024).举例:iptables -A INPUT -m psd -j DROPCONFIG_IP_NF_MA

--psd-lo-ports-weight

特权目的端口的优先级,即目标端口(<=1024)的优先级

--psd-hi-ports-weight

非特权目的端口的优先级(>1024).

举例:iptables -A INPUT -m psd -j DROP

CONFIG_IP_NF_MATCH_RPC,支持两个模块ip_conntrack_rpc_udp和ip_conntrack_rpc_tcp (用来分别跟踪UDP和TCP的端口映射请求),在iptabIe 中添加record_rpc(用来匹配是否包的源地址已经发过端口映射请求,或者是一个新的发往端口映射的GET请求,以允许RPC过滤)

seqoffset.patch - 新的NAT中的 API 函数. 此API函数隐藏了所有的协议翻译(例如:ftp/irc)中的包重设大小和计算序列号的细节问题

要求:至少内核 2.4.2以上!

dropped-table-patch from netfilter patch-o-matic

CONFIG_IP_NF_NAT_SNMP_BASIC 基本的SNMP地址翻译支持. 如同RFC 2962中描述的,是 SNMP-ALG中的“基本”条目;它通过修改SNMP有效载荷中的IP地址来匹配IP层的地址翻译映射.

CONFIG_IP_NF_MATCH_STRING :允许在整个包里匹配字符串.

iptables -A INPUT -m string --string cmd.exe -j QUEUE

tcp-window-tracking.patch :通过Guido van Rooij的论文"IP过滤器中的实时状态TCP包过滤“( Real Stateful TCP Packet Filtering in IP Filter),实现了TCP连接跟踪.它包含新的支持已建立的连接控制的TCP连接跟踪. 并添加了窗口缩放支持(Window scaling).

CONFIG_IP_NF_MATCH_TTL option:允许用户根据包的TTL值来匹配包.

CONFIG_IP_NF_TARGET_ULOG:支持更多高级的包日志记录机制,目录libiptulog/ 下包含有收到的ULOG消息库.

更多信息:http://www.gnumonks.org/projects/ulogd

CONFIG_IP6_NF_TARGET_LOG :在ip6tables中添加LOG target.

CONFIG_IP6_NF_TARGET_REJECT:在ip6tables中添加拒绝目标( REJECT target). 请注意此处的 icmp-types与icmpv6 types不同(更多消息请看:ip6tables -j REJECT -h)

ipv6-ports.patch:ipv6 有IPv6的自己的端口匹配形式.

注意: 以上高亮显示的补丁并不表示你应该编译进你的内核中。仅表示我发现的有趣的功能。你可以把你感兴趣的补丁从目录patch-o-matic 中拷贝到usr/src/linux,并且运行 patch -R -p1 < name_of_the_patch.

上一页  1 2 3 4 5 6 

Tags:Netfilter Iptables 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接