专家详解Netfilter/iptables FAQ

　　netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK ），而在每个检测点上上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是用户自定义的功能）。

　　常见问题

　　这一小节覆盖了常见的netfilter（和非netfilter）相关的问题，我们在邮件列表中经常看到它们。

　　1、我从哪里可以获取netfilter/iptables？

　　Netfilter和iptables集成在Linux2.4.x内核系列中了，请从http://www.kernel.org/或它的镜像站点获取一个最近的内核。用户空间工具iptables可以在netfilter的主页及它的镜像站点http://www.netfilter.org/, http://www.iptables.org/, http://netfilter.samba.org/, http://netfilter.gnumonks.org/ 或 http://netfilter.filewatcher.org/.上找到。

　　2、Linux2.2有netfilter的backport吗？

　　没有，至少目前还没有，但是如果有人想开发它，也应该不会太难，因为对网络堆栈有干净的接口，这一块有任何动静请通知我一声。

　　3、有ICQ conntrack/NAT帮助模块吗？

　　如果你在一个Linux2.2盒子上使用伪装技术，你总会用ip_masq_icq module来直接获取客户端到客户端的ICQ操作。没有人为netfilter重新实现过这个模块，因为ICQ协议太丑陋了：），但是我猜测它需要一点时间，除非有一个现成的可用。

　　Rusty曾经指出要为协议开发一个模块，至少要有一个开放的客户端和开放的服务器被集成到主netfilter发布中，对于ICQ而言，它只有开放的客户端，因此它不符合这个标准。（开放即自由，而不是免费的啤酒）

　　4、ip_masq_vdolive / ip_masq_quake / ...等模块何去何从？

　　它们中的一部分是不需要的，另一部分还没有集成到netfilter，Netfilter可以跟踪所有连接甚至是UDP，并且策略尽可能少的干扰数据包。