添加iptables/netfilter功能扩展模块的测试

#2.备注应用
iptables -A FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online"
iptables -A FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com"

#3.并发连接应用
iptables -A FORWARD -s 192.168.3.159 -p tcp --syn --dport 80 -m connlimit --connlimit-above 3 --connlimit-mask 24 -j DROP

#4.ip范围应用
iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT

#5.封杀BT类P2P软件
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

#
#打开转发功能
#
echo "1" > /proc/sys/net/ipv4/ip_forward

# chmod u+x fwtest
# ./fwtest

说明：所增加的扩展功能中只测试了string功能，其它的有待以后再抽时间测试。
四、测试结果
　　如果FORWARD链的默认策略为DROP，则 iptables -A FORWARD -m string --string "sina" -j?ACCEPT 不起作用，如果FORWARD链的默认策略为ACCEPT，则 iptables -A FORWARD -m string --string "sina" -j?DROP 语句有效。这样，就无法在默认DROP策略下开放访问某些网站。
参考资料：
http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.html
《iptables添加模块HOWTO》－－platinum
《iptables/netfilter模块编译及应用》－－KindGeorge
*注：这是我０６年发布在西湖博客上的一篇旧文，现在迁移过来。我的西湖博客地址：http://linuxtech.xhschool.com/