用IPTables实现字符串模式匹配

　　基于以上的情况，iptables的新增功能提供了跨越两种防火墙类型的优势，避免了各自的缺陷，这个功能同时非常清晰的证明了新的模块化的架构较之老的ipchains的优势，它能够使得iptables工作在网络层（OSI模型的第三层）不必工作在高层协议，但是却可以监视高层协议的有效载荷，而不必分析应用层的通信结构。

　　在2001年5月以前，还没有提出字符串模式匹配模块以前。有一个尝试添加内容监控的能力给iptables防火墙的工程：Hogwash。该工程结合了Snort IDS规则模式匹配引擎，以便于iptable能够响应带有攻击信号的数据包。

　　现在我们提供了一个Step-By-Step的指导，以便于在RedHat Linux上实现模式匹配的包监视功能。标准的RH7.2提供了iptables 1.2.3的版本以及1.2.4的可用RPM升级包。然而，模式匹配功能没有被包含在标准的发行版中，因为开发人员将它标记为试验。

　　如果你使用的是RH7.1-7.2，你就已经使用了2.4的核心。你至少需要2.4.4的核心以便能够使用iptables 1.2.4的功能。通常推荐你从发行商那里下载最新的可用的核心。目前，有一个例外：iptables-1.2.4的字符串模式匹配补丁不能在2.4.9 的核心下工作。你应该安装核心的源码RPM包（通常被放在/usr/src/linux-2.4.x的源码树内）或者从别处下载的核心源程序（比如 www.kernel.org或者它的一个镜像）。

　　在本文中，将采用最新的2.4.16核心作为例子。测试也能运行在使用2.4.7核心的RedHat 7.2上，但是2.4.7的核心并不推荐使用，因为2.4.7的核心有一些小的安全问题，比如SYN-cookie保护和iptables的保存/恢复功能。

　　接下来需要从http://netfilter.samba.org/iptables-1.2.4.tar.bz2下载iptables。当对压缩文件进行解压缩之后，需要对iptables进行配置，合并相关的核心源程序树。可以使用半自动化的程序来完成这个目的。首先，可能需要运行程序以便包含已经考虑过的稳定的iptables补丁，但是这个补丁没有被包含在kernel的发行版内。从iptables的解压目录（在本例中iptables在 /home/anton/iptables-1.2.4，核心源程序在/usr/src/linux-2.4.16）运行：