Linux防火墙之Netfilter

Netfilter简介

　　Linux下的包过滤防火墙,可以运行在2.4,2.6内核上；集成在内核中,不是系统的一个守护进程；对OSI模型中2,3,4层进行处理；只能对数据包头进行处理；可以用iptables命令来进行规则的配置；代替了ipchains；可以从http://www.netfilter.org查到更多资源.

基本的Netfilter编译选项

　　为了运行iptables,需要在内核配置期间,选择以下一些选项,不管你用make config或其他命令.
在内核配置文件中要启用一些较重要的选项包括Netfilter连接跟踪、日志记录和包过滤.（请记住iptables通过用由Netfilter提供的内核中框架来建立一个策略）.
在Network Packet Filtering Framework（Netfilter）中还有两个额外的配置选项――Core Netfilter Configuration（核心Netfilter配置）和IP：Netfilter Configuration（IP：Netfilter配置）.

核心Netfilter配置

　　核心Netfilter配置选项中包含的一些得要选项都应该被启用：

IP：Netfilter配置

　　ECN target support（ECN目标支持）；
Full NAT（完整NAT支持）；
IP address range match support（ip地址范围匹配支持）；
IP tables support（IP tables支持,filtering/masq/NAT需要）；
IPv4 connection tracking support（IPv4连接跟踪支持,NAT需要）；
LOG target support（LOG目标支持）；
MASQUERAD target support（MASQUERAD目标支持）；
Owner match support（owner匹配支持）；
Packet filtering（包过滤支持）；
Packet mangling（包修改支持,常用于改变包的路由）；
Raw table support（RAW表支持,NOTRACK/TRACE需要）；
Recent match support（recent匹配支持）；
REJECT target support（REJECT目标支持）；
TOS match support（TOS匹配支持）；
TOS target support（TOS目标支持）；

Netfilter工作的位置

　　Netfilter是以模块的方式存在于Linux中,每当Linux多一个Netfilter的模块就代表着Linux防火墙的功能多了一项,当然其功能也随之增加.其中/lib/modules/2.6.18-164.el5/kernel/net/ipv4/netfilter目录下所存放的模块只能工作在IPv4的网络环境下；如下图所示：

　　/lib/modules/2.6.18-164.el5/kernel/net/ipv6/netfilter目录下所存放的模块只能工作在IPv6的网络环境下,如下图所示：

　　以上的两个目录的模块有个共同的特性,　都与“协议”有关,　因此,在使用这些模块时,特别留意哪些模块只能使用在哪个协议下.Linux自2.6.14版本开始,　其内含的Netfilter模块在设计上有了重大的改变,Netfilter组织希望模块与“协议”无关,就目前情况看来已有部份模块可以达到这样的要求其路径为/lib/modules/2.6.18-164.el5/kernel/net/netfilter如下图所示：

Netfilter的命令结构

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!