"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

Глава 2. Подготовка

Целью данной главы является оказание помощи в понимании той роли,
которую netfilter и iptables играют в Linux сегодня. Так же она должна
помочь вам установить и настроить межсетевой экран (firewall).

2.1. Где взять iptables

Пакеты iptables могут быть загружены с домашней страницы проекта
Netfilter. Кроме того, для работы iptables соответствующим образом должно
быть сконфигурировано ядро вашей Linux-системы. Настройка ядра будет
обсуждаться ниже.

2.2. Настройка ядра

Для обеспечения базовых возможностей iptables, с помощью утилиты make
config или ей подобных (make menuconfig или make xconfig прим. перев.), в
ядро должны быть включены следующие опции:
CONFIG_PACKET - Эта опция необходима для приложений, работающих
непосредственно с сетевыми устройствами, например: tcpdump или snort.

ПРИМЕЧАНИЕ: Строго говоря, опция CONFIG_PACKET не требуетсядля работы
iptables, но, поскольку она используется довольно часто, я включил ее в
список. Если вам эта опция не нужна, то можете ее не включать.

CONFIG_NETFILTER - Эта опция необходима, если вы собираетесь
использовать компьютер в качестве сетевого экрана (firewall) или шлюза
(gateway) в Интернет. Другими словами, вам она определенно понадобится,
иначе зачем тогда читать это руководство!
И конечно нужно добавить драйверы для ваших устройств, т.е. для карты
Ethernet, PPP и SLIP. Эти опции необходимы для обеспечения базовых
возможностей iptables, для получения дополнительных возможностей придется
включить в ядро некоторые дополнительные опции. Ниже приводится список опций
для ядра 2.4.9 и их краткое описание:
CONFIG_IP_NF_CONNTRACK - Трассировка соединений. Трассировка
соединений, среди всего прочего, используется при трансляции сетевых адресов
и маскарадинге (NAT и Masquerading). Если вы собираетесь строить сетевой
экран (firewall) для локальной сети, то вам определенно потребуется эта
опция. К примеру, этот модуль необходим для работы rc.firewall.txt.
CONFIG_IP_NF_FTP - Трассировка FTP соединений. Обмен по FTP идет
слишком интенсивно, чтобы использовать обычные методы трассировки. Если не
добавить этот модуль, то вы столкнетесь с трудностями при передаче протокола
FTP через сетевой экран (firewall).
CONFIG_IP_NF_IPTABLES - Эта опция необходима для выполнения операций
фильтрации, преобразования сетевых адресов (NAT) и маскарадинга
(masquerading). Без нее вы вообще ничего не сможете делать с iptables.
CONFIG_IP_NF_MATCH_LIMIT - Этот модуль необязателен, однако он
используется в примерах rc.firewall.txt. Он предоставляет возможность
ограничения количества проверок для некоторого правила. Например, -m