网格云计算

用IPTables实现字符串模式匹配

　　自1995年ipfwadm开始进入1.2.1的核心，Linux的防火墙实现有很长的时间了。Ipfwadm实现了标准的tcp/ip包过滤功能，比如过滤源地址与目的地址以及端口过滤。早在1999年第一个稳定的2.2.0核心中防火墙的实现被ipchains替代了，ipchains的新功能包括支持规则链，碎片包控制，较好的网络地址翻译功能（NAT）以及其他一些有用的改进。我们需要明白Linux防火墙包括核心级代码（通常是可加载核心模块或者核心源程序的补丁）和用户级代码（一个配置的工具，比如/usr/bin/ipchains，这是用来插入包规则到核心空间的）因此无论如何，只要新的linux防火墙代码被引入，核心和用户空间的有关代码都要改写。

动态iptables 防火墙 灵活（有趣）的网络安全性
  
2001 年 4 月 01 日

防火墙非常有趣，但在需要对防火墙规则进行快速且复杂的更改时，您会做些什么？很简单。请使用本文中演示的 Daniel Robbins 的动态防火墙脚本。可以使用这些脚本来增加网络安全性和响应性，并激发您自己的创造性设计。
了解动态防火墙脚本好处的最佳方法是在运行时查看它们。要这样做，让我们假设我是一家 ISP 的系统管理员，最近我建立了基于 Linux 的防火墙，用于保护我的客户和内部系统免遭因特网上恶意用户的攻击。为了实现这个目的，我的防火墙使用新的 Linux 2.4 iptables 有状态功能，以允许我的客户和服务器建立新的外出连接，当然还允许新的进入连接，但仅限于“公共”服务，如 web、ftp、ssh 和 SMTP。由于我使用了缺省拒绝设计，因此会自动拒绝任何从因特网到非公共服务（如 squid 代理缓存或 Samba 服务器）的连接。现在，我有一个非常不错的防火墙，它为我公司的所有客户提供了非常好的保护。