问IPtables安装问题

EN

至于防火墙，我会担心它们放在哪里，你的互联网速度，以及你对它们需要多少规则。它们几乎可以决定你需要什么样的硬件。注意更多的性能/更高的速度，你可能需要更好的网卡。在过去，我使用顶级英特尔专业卡。

关于ISP设置中的路由器/防火墙，我曾经在运行的ISP上有一个带有IPtables的Linux路由器，用于防火墙/计费。随着时间的推移，我用Cisco ISP等级路由器替换了它，创建了访问列表来阻止我需要削减的几个端口(主要是Windows默认端口、SQLSERVER和其他端口)，并开始向Linux服务器发送netflow，以便在我们的容量开始增长时对客户进行数据统计。

请注意，如果您是电缆厂设备，第2/3层防火墙规则可以添加到DOCSIS调制解调器配置。这样可以节省大量的上游带宽。

至于开源防火墙，我推荐pfSense。我过去用它来保护ISP的公司网络，现在我用它来为OS/X、Linux和Windows 7-10提供本地客户端VPN。它们还支持完全故障转移，其中如果主故障，从维护状态的连接随着时间的推移，并捡起一切。pfSense运行在FreeBSD之上，具有非常灵活的图形管理界面。

https://www.pfsense.org

关于Linux中的iptables/VPN，我使用Debian作为防火墙和VPN (使用strongswan)来保护一个特殊的网络，不需要处理内核编译。

至于第7层流量搜索，我们试着用Linux做了一段时间，但效率不高，这是一个耗时的过程。我们最终选择了一个NetEnforcer流量整形器。

nftables目前正在开发中，以取代iptable，虽然他们没有说那么多，但我认为现在它是"beta“。我对他们的时间线没有任何洞察力，但你可以在这里读到更多：http://netfilter.org/projects/nftables/

默认情况下，许多linux发行版已经启用了iptable。要么编译在其中，要么在引导时加载模块(最常见)。最简单的判断方法是运行：

lsmod | grep ip_tables

如果加载了模块，您应该会看到一行内容为ip_tables。你也可以尝试：

iptables -L

看看你能不能拿回什么。在默认情况下，大多数框将有空的“链”，这基本上意味着允许一切(默认为允许默认配置)。

我倾向于使用shorewall，而不是直接编写iptables规则。还有一些替代方案，如firewalld。

关于内核编译，它实际上取决于您所需要的特性是否可以在库存内核中使用，还是作为模块外接程序使用。如果他们不是，那么你将需要自己的滚动。然而，这并不是真正的企业级，因为这意味着每次内核包升级时都要做更多的工作。

在您询问的关于ISP级别数据包过滤的评论中。我认为，对于这类工作，最好使用ipset扩展到iptables。在保护方面，它允许您构建数千(如果不是几万)相似的规则集，这些规则可以运行，而不会显着地减缓通过规则集的流量。

我想您也会看到完整的IDS/IPS。