netfilter的架構(gòu)就是在整個網(wǎng)絡(luò)流程的若干位置放置了一些檢測點（HOOK ），而在每個檢測點上上登記了一些處理函數(shù)進行處理（如包過濾，NAT等，甚至可以是用戶自定義的功能）。

常見問題

這一小節(jié)覆蓋了常見的netfilter（和非netfilter）相關(guān)的問題，我們在郵件列表中經(jīng)常看到它們。

1、我從哪里可以獲取netfilter/iptables？

Netfilter和iptables集成在Linux2.4.x內(nèi)核系列中了，請從http://www.kernel.org/或它的鏡像站點獲取一個最近的內(nèi)核。用戶空間工具iptables可以在netfilter的主頁及它的鏡像站點http://www.netfilter.org/, http://www.iptables.org/, http://netfilter.samba.org/, http://netfilter.gnumonks.org/ 或 http://netfilter.filewatcher.org/.上找到。

2、Linux2.2有netfilter的backport嗎？

沒有，至少目前還沒有，但是如果有人想開發(fā)它，也應(yīng)該不會太難，因為對網(wǎng)絡(luò)堆棧有干凈的接口，這一塊有任何動靜請通知我一聲。

3、有ICQ conntrack/NAT幫助模塊嗎？

如果你在一個Linux2.2盒子上使用偽裝技術(shù)，你總會用ip_masq_icq module來直接獲取客戶端到客戶端的ICQ操作。沒有人為netfilter重新實現(xiàn)過這個模塊，因為ICQ協(xié)議太丑陋了：），但是我猜測它需要一點時間，除非有一個現(xiàn)成的可用。
Rusty曾經(jīng)指出要為協(xié)議開發(fā)一個模塊，至少要有一個開放的客戶端和開放的服務(wù)器被集成到主netfilter發(fā)布中，對于ICQ而言，它只有開放的客戶端，因此它不符合這個標準。（開放即自由，而不是免費的粕能少的干擾數(shù)據(jù)包。

5、patch-o-matic是什么？我如何使用它？

2.4.x內(nèi)核是一個穩(wěn)定版本，因此我們不能提交我們目前的開發(fā)版本到主流內(nèi)核，我們所有的代碼首先要在netfilter patch-o-matic中測試，如果你想使用netfilter的邊緣功能，你不得不從patch-o-matic應(yīng)用一個或更多的補丁，你可以在最新的iptables的包中找到patch-o-matic（或從CVS源代碼找），請在netfilter主頁去下載。

patch-o-matic現(xiàn)在有3個不同的選項：
make pending-patches
make most-of-pom
make patch-o-matic

第一個選項只是確保所有重要的bug修復(fù)補丁（它已經(jīng)被提交給內(nèi)核維護者了）應(yīng)用到你的內(nèi)核；第二個選項提醒你所有新的特征在沒有沖突的情況將被應(yīng)用；第三個選項是為真正的專家準備的，可以看到所有的補丁—但是要小心，它們可能互相沖突。
patch-o-matic有一個整潔的用戶接口，只需要輸入

make most-of-pom (或 pending-patches或 patch-o-matic，請看上面)
或者，如果你的內(nèi)核樹不在/usr/src/linux，使用
make KERNEL_DIR={your-kernel-dir} most-of-pom

在iptables包的頂級目錄，patch-o-matic檢查每一個補丁是否可以應(yīng)用到你已經(jīng)安裝的內(nèi)核代碼，如果一個補丁可以應(yīng)用，你將看到一個關(guān)于該補丁的更多信息提示，應(yīng)用這個補丁，跳到下一個... ...

關(guān)于patch-o-matic更多的信息，請查看netfilter的擴展HOWTO（http://www.netfilter.org/documentation/index.html#HOWTO）。

6、我在哪里可以找到ipnatctl以及關(guān)于它的更多信息？

ipnatctl用于從用戶空間設(shè)置你的NAT規(guī)則，它是一個非常早的2.3.x內(nèi)核時期的開發(fā)版本，現(xiàn)在不再需要它了，因此不再有效，它的所有功能現(xiàn)在都集成到iptables身上了，請在netfilter主頁上查看NAT HOWTO。

7、iptables/ip6tables能做IPv6 NAT嗎？

不行，NAT核心不支持任何類型的IPv6/IPv4 NAT。

8、有計劃支持SIP嗎？

SIP（會話初始化協(xié)議）是相當(dāng)復(fù)雜的，特別是它橫跨防火墻和NAT設(shè)備時，最初的計劃是在FCP（防火墻控制協(xié)議）上的一個代理通訊。現(xiàn)在IETF MIDCOM工作組已經(jīng)成立了，他們也想使用SIP。

netfilter/iptables團隊目前沒有資源實施SIP conntrack/NAT支持，但是我們對發(fā)起者是打開門歡迎的。

9、netfilter/iptables支持failover/HA？

答案是‘支持’和‘不支持’。
如果你正在考慮一個完整的失效恢復(fù)，那么多有的狀態(tài)信息需要保留：不現(xiàn)實。在多個節(jié)點之間同步狀態(tài)是一個非常困難的過程，Harald（netfilter團隊核心成員）已經(jīng)發(fā)布了一個關(guān)于這個的報告，但是沒有發(fā)現(xiàn)任何對開發(fā)有幫助的資助。同時，你可以嘗試使用我的‘連接撿起’特性，它嘗試撿起已經(jīng)建立好的連接：可能需要足夠充分的條件。

如果你用了NAT并且想保留你的NAT映射：不支持。
如果你使用包過濾：支持。