Netfilter的高级使用(1) netfilter有一些功能在标准发行的Linux内核里面没有包括,例如基于时间的控制、dropped-table、反端口扫描等等。这些功能大部分将来会慢慢加入到linux内核中,但目前都没有经过仔细测试,所以要慎重使用。 要使用这些功能, 请先下载最新的iptables源码。解压后,执行 make pending-patches KERNEL_DIR=<<where-your-kernel-is>>看看你的内核是不是太老了,然后make patch-o-matic,按照提示选择想要安装的新功能。下面是我觉得有用的一些功能: 1. ah-esp 增加两个扩展,允许匹配ipsec包中ah或esp包头中的一段SPI(security parameters index)。 2. ct-netlink 使用户空间程序可以通过netlink获得连接跟踪的状态,并可经由用户空间改变连接状态。这个补丁与其他大多数补丁冲突。 3. dropped-table 加了一个drop表,被drop的包遍历这个表。和其他大部分补丁冲突。 4. ftos 扩展的tos,可以设置tos为0x0到0xff之间的任何值,用于简单的Qos。 5. iplimit 限制每客户到主机或网络的并发连接数。例如: iptables -p tcp --syn --dport 23 -m iplimit --iplimit-above 2 -j REJECT (每客户最多两个telnet连接),等效于iptables -p tcp --syn --dport 23 -m iplimit ! --iplimit-above 2 -j ACCEPT 限制到每个c类网络最多16个http连接 iptables -p tcp --syn --dport 80 -m iplimit --iplimit-above 16 \ --iplimit-mask 24 -j REJECT 6. ipv4options 匹配ip操作,使用该功能可以过滤掉源路由、记录路由、时间戳等ip操作。iptables -m ipv4options –help可以得到详细的帮助。例如iptables -A input -m ipv4options --rr -j DROP 过滤掉记录路由的包,iptables -A input -m ipv4options --ts -j DROP 过滤掉带时间戳操作的ip包。 7. irc-conntrack-nat 对irc的DCC(Direct Client-to-Client)协议的支持。 8. length 允许以指定值或指定范围匹配包长度。例如POD这样的大包可以直接drop。最小包长为0,最大的是0xffff。 9. mport 对multiport功能的增强。可以对单个端口和一段连续端口混合指定。看来是很好,不过我测试的时候这个功能不能用(2.4.6 & 2.4.9内核)。 10. netlink 用户空间可以经由netlink接收包。一个可用的用户空间程序fwmon (http://firestorm.geek-ware.co.uk)。这个补丁基本类似ipchains的-o操作。 11. netmap 为nat表增加了一个NETMAP目标。提供一对一的网络映射支持。它可以在PREROUTING链中改变流入包的目标地址,在POSTROUTING链中改变输出包的源地址。使用范例如下: iptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24 iptables -t nat -A POSTROUTING -s 5.6.7.0/24 -j NETMAP --to 1.2.3.0/24 12. nth 提供对第n个包的匹配。 13. pkttype 按类匹配包。例如broadcast、multicast等。使用范例如下: iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG。 14. pool 提供一种方法,用位图中的每一位代表一个地址,使用时需要一个用户空间程序ippool。
