Netfilter有一些功能在标准发行的linux内核里面没有包括,例如基于时间的控制、dropped-table、反端口扫描等等。这些功能大部分将来会慢慢加入到linux内核中,但目
都没有经过仔细测试,所以要慎重使用。
要使用这些功能, 请先下载最新的iptables源码。解压后,执行make pending-patches KERNEL_DIR=<>看看你的内核是不是太老了,然后make patch-o-matic,按照提示选择想要安装的新功能。下面是我觉得有用的一些功能:
1. ah-esp 增加两个扩展,允许匹配ipsec包中ah或esp包头中的一段SPI(security parameters index)。
2. ct-netlink 使用户空间程序可以通过netlink获得连接跟踪的状态,并可经由用户空间改变连接状态。这个补丁与其他大多数补丁冲突。
3. dropped-table 加了一个drop表,被drop的包遍历这个表。和其他大部分补丁冲突。
4. ftos 扩展的tos,可以设置tos为0x0到0xff之间的任何值,用于简单的Qos。
5. iplimit 限制每客户到主机或网络的并发连接数。例如:
iptables -p tcp --syn --dport 23 -m iplimit --iplimit-above 2 -j REJECT
(每客户最多两个telnet连接),等效于:
iptables -p tcp --syn --dport 23 -m iplimit ! --iplimit-above 2 -j ACCEPT
限制到每个c类网络最多16个http连接:
iptables -p tcp --syn --dport 80 -m iplimit --iplimit-above 16 --iplimit-mask 24 -j REJECT
6. ipv4options 匹配ip操作,使用该功能可以过滤掉源路由、记录路由、时间戳等ip操作。iptables -m ipv4options –help可以得到详细的帮助。例如:
