编译内核启用iptables及netfilter

在Network Packet Filtering Framework（Netfilter）一节中还有两个额外的配置节——Core Netfilter Configuration（核心Netfilter配置）和IP:Netfilter Configuration（IP:Netfilter配置）。

1. 核心Netfilter配置

核心Netfilter配置节中包含的一些重要选项都应该被启用：

l    Comment match support（comment匹配支持）；

l    FTP support（FTP协议支持）；

l    Length match support（数据包长度匹配支持）；

l    Limit match support（limit匹配支持）；

l    MAC address match support（MAC地址匹配支持）；

l    MARK target support（MARK目标支持）；

l    Netfilter connection tracking support（Netfilter连接跟踪支持）；

l    Netfilter LOG over NFNETLINK interface（Netfilter通过NFNETLINK接口记录日志）；

l    Netfilter netlink interface（Netfilter netlink接口）；

l    Netfilter Xtables support（Netfilter Xtables支持）；

l    State match support（state匹配支持）；

l    String match support（string匹配支持）。

2. IP:Netfilter配置

在完成核心Netfilter配置之后，我们开始进入IP:Netfilter配置节。本节需要启用的选项如下所示：

l    ECN target support（ECN目标支持）；

l    Full NAT（完整NAT支持）；

l    IP address range match support（ip地址范围匹配支持）；

l    IP tables support（IP tables支持，filtering/masq/NAT需要）；

l    IPv4 connection tracking support（IPv4连接跟踪支持，NAT需要）；

l    LOG target support（LOG目标支持）；

l    MASQUERADE target support（MASQUERADE目标支持）；

l    Owner match support（owner匹配支持）；

l    Packet filtering（包过滤支持）；

l    Packet mangling（包修改支持，常用于改变包的路由）；

l    raw table support（raw表支持，NOTRACK/TRACE需要）；

l    Recent match support（recent匹配支持）；

l    REJECT target support（REJECT目标支持）；

l    TOS match support（TOS匹配支持）；

l    TOS target support（TOS目标支持）；

l    TTL match support（TTL匹配支持）；

l    TTL target support（TTL目标支持）；

l    ULOG target support（ULOG目标支持）。

在2.6系列内核中，个别编译节经过了重大的重组。在旧的2.4系列内核中，IP:Netfilter配置节位于Networking选项之下，而且仅当Network Packet Filtering选项被启用时才能看到。

编译内核启用iptables及netfilter,古老的榕树,5-wow.com