欢迎来到天天文库
浏览记录
ID:14322577
大小:42.00 KB
页数:14页
时间:2018-07-27
《centos下iptables详解》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、centos下iptables详解centos下iptables详解1.引言CentOS內置了一个非常強劲的防火牆,统称为iptables,但更正确的名称是iptables/netfilter。iptables是一个用戶空间的模块。作为用戶,你在命令行就是通过它将防火牆规则放进缺省的表裡。netfilter是一个核心模块,它內置於內核中,进行实际的过滤。iptables有很多前缀图像界面可以让用戶新增或定义规则,但它们很多时不及使用命令行般有灵活性,而且限制用戶了解实际发生的事情。我们将会学习iptables的命令行界面。在我们正式应付ipta
2、bles前,我们必须对它的运作有一个基本的理解。iptables利用到IP地址、协议(tcp、udp、icmp)及端口这些概念。我们不需要成为这些方面的专家(因为我们可以找到所需的信息),但对它们有一般的理解会有帮助。iptables将规则放进缺省的规则链(INPUT、OUTPUT及FORWARD),而所有流量(IP压缩)都会被相关的规则链检查,根据当中的规则判断如何处理每个压缩,例如:接纳或丟棄它。这些动作称为目标,而最常见的两个缺省目标就是DROP来丟棄压缩;或ACCEPT来接纳压缩。规则链我们可以在过滤表的3条缺省规则链內加入规则,来处理
3、通过这些规则链的压缩。它们分別是:*INPUT-所有以主机为目的地的压缩。*OUTPUT-所有源自主机的压缩。*FORWARD-这些压缩的目的地或来源地都不是主机,但路经主机(由它选路)。假若你的主机是一个路由器,这条规则链将会被应用。我们将会花费最多时间处理INPUT规则链,借以过滤进入我们的机器的压缩——亦即是将坏蛋拒诸门外。规则是以列表的方式被加进每条规则链。每个压缩会被头一条规则开始检查,才至最后一条。假若压缩与其中一条规则吻合,相应的动作便会被执行,例如接纳(ACCEPT)或丟棄(DROP)压缩。一但有吻合的规则,这个压缩便会按照规则
4、来处理,而不再被规则链內的其它规则所检查。假如压缩通过所有检查而不符合任何规则链內的任何一条规则,那应这条规则链的缺省动作将会被执行。这就是所谓的缺省政策,可以设置为接纳(ACCEPT)或丟棄(DROP)压缩。规则链拥有缺省政策这个概念带来两个基本的可能性,而我们必须考虑它们才能決定如何组织我们的防火牆。1.我们可以缺省一个政策来丟棄(DROP)所有压缩,然后刻意加入规则来接纳(ACCEPT)源自被信任的IP地址的压缩,或者打开那些提供服务的端口,如:bittorrent、FTP服务器、网页服务器、Samba文件服务器等。又或者,2.我们可以缺
5、省一个政策来接纳(ACCEPT)所有压缩,然后刻意加入规则来拦截(DROP)来自有问题的IP地址或系列的压缩,也或者阻止压缩进出只作私人用途或未提供服务的端口。普遍来說,第一个方法多数用在INPUT规则链,因为我们会希望控制哪些东西可以访问我们的机器;而第二个方法多数用在OUTPUT规则链,因为我们多数信赖那些离开(源自)我们机器的压缩。2.準备开始在命令行上使用iptables需要root的权限,因此你必须化身为root用戶来做下面的事情。[attachment:ArtWork/WikiDesign/icon-admonition-atten
6、tion.png]注意:我们将会停用iptables及复位你的防火牆规则,因此假若你依赖你的Linux防火牆作为第一道防線,请特別留意这点。iptables应该缺省被安装在所有CentOS3.x、4.x及5.x上。你可以这樣来检查iptables是否已安装在你的系统上:$rpm-qiptablesiptables-1.3.5-1.2.1要知道iptables是否正在运作中,我们可以检查iptables这个模块是否已被装入,並利用-L这个选项来查看活动的规则:#lsmod
7、grepip_tablesip_tables292881iptable_f
8、ilterx_tables291926ip6t_REJECT,ip6_tables,ipt_REJECT,xt_state,xt_tcpudp,ip_tables#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationRH-Firewall-1-INPUTall--anywhereanywhereChainFORWARD(policyACCEPT)targetprotoptsourcedestinationRH-Firewall-1-INPUTall--anywherea
9、nywhereChainOUTPUT(policyACCEPT)targetprotoptsourcedestinationChainRH-Firew
此文档下载收益归作者所有