内容摘要:netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK ),而在每个检测点上上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是用户自定义的功能)。
7、iptables/ip6tables能做IPv6 NAT吗?
不行,NAT核心不支持任何类型的IPv6/IPv4 NAT。
8、有计划支持SIP吗?
SIP(会话初始化协议)是相当复杂的,特别是它横跨防火墙和NAT设备时,最初的计划是在FCP(防火墙控制协议)上的一个代理通讯。现在IETF MIDCOM工作组已经成立了,他们也想使用SIP。
netfilter/iptables团队目前没有资源实施SIP conntrack/NAT支持,但是我们对发起者是打开门欢迎的。
9、netfilter/iptables支持failover/HA?
答案是‘支持’和‘不支持’。
如果你正在考虑一个完整的失效恢复,那么多有的状态信息需要保留:不现实。在多个节点之间同步状态是一个非常困难的过程,Harald(netfilter团队核心成员)已经发布了一个关于这个的报告,但是没有发现任何对开发有帮助的资助。同时,你可以尝试使用我的‘连接捡起’特性,它【在发生故障后】尝试捡起已经建立好的连接:可能需要足够充分的条件。
如果你用了NAT并且想保留你的NAT映射:不支持。
如果你使用包过滤:支持。
建立过程中的问题
1、我用内核>=2.4.0-test4时不能编译iptables-1.1
这是一个已知的问题,检查补丁应用的机制被中断,尝试使用make build替代make。更好的方法:升级到iptables-1.1.2或更高版本。
2、我用最近的内核(>=2.3.99-pre8)不能编译iptables1.1.0
iptables内部结构已经改变了,请升级到iptables>=1.1.1。
3、一些来自iptables>=1.2.1a的patch-o-matic补丁不能与>=2.4.4内核一起工作
请使用一个最近的iptables发布。
4、ipt_BALANCE, ip_nat_ftp, ip_nat_irc, ipt_SAME, ipt_NETMAP不能编译
来源:51CTO.com 作者:黄永兵 责编:豆豆技术应用