返回
使用iptables搭建防火墙的规则

使用iptables搭建防火墙的规则

ID:21052277

大小:56.50 KB

页数:4页

时间:2018-10-19

使用iptables搭建防火墙的规则_第1页
使用iptables搭建防火墙的规则_第2页
使用iptables搭建防火墙的规则_第3页
使用iptables搭建防火墙的规则_第4页
资源描述:

《使用iptables搭建防火墙的规则》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、使用IPtables搭建防火墙的规则~教育资源库  了解了iptables的基本概念和用法,下面我们就开始正式使用iptables来创建我们的防火墙。启动和停止iptables的方法取决于所使用的Linux发行版,你可以查看所使用Linux版本的文档。在RedHat中,启动iptables用:  #serviceiptablesstart  一般情况下,iptables已经包含在了Linux发行版中,可以运行iptables--version来查看系统是否安装了iptables。在我使用的FedoraCore1中,安装的版本是

2、iptablesv1.2.8。如果你的系统确实没有安装iptables,那么可以从以下地址下载:  .filter.org/  查看规则集  虽然上文对iptables的用法作一个简单介绍,但现实中我们可能需要知道更完整的信息,这时我们可以运行maniptables来查看所有命令和选项的完整介绍,也可以运行iptableshelp来查看一个快速帮助。要查看系统中现有的iptables规划集,可以运行以下命令:  iptableslist  下面是没有定义规划时iptables的样子:  ChainINPUT(policyACC

3、EPT)  target protoptsource destination  ChainFORand[match][target]。  现实中,不一定要用到这里所列出的所有选项,也不一定是以这个顺序。当然,这是一种惯例,因为规则一般都比较长,为了清晰起见,最好能够按照这个顺序。  在没有指定规则表的情况下,缺省时使用的filter表。在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。DROP会丢弃数据包,不再对其进行任何处理。REJECT会把出错信息传送至发送数据包的主机。虽然有时会有一些预想不到的影

4、响,但在很多时候它还是非常有用。  增加规则  本例中的规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意的攻击者在活动:  #iptables-tfilter-AINPUT-s123.456.789.0/24-jDROP  要了解有关iptables详细的参数和命令格式,请使用maniptables查看。可以说,现在我们对于网络上的恶意攻击者已经深恶痛绝,但不管怎么说,我们也不能因为憎恨它们就以同样的方法对其实行简单的报复,至少这种事情不能在你的网络里发生。因此,我们也可以很轻易地阻止所有流

5、向攻击者IP地址的数据包,该命令也只是稍有不同:  #iptables-tfilter-AOUTPUT-d123.456.789.0/24-jDROP  注意这里的A选项,如前所述,使用它说明是给现有的链添加规则。  删除规则  网络上的恶意攻击者总是在变化着的,因此我们也要不断改变IP。假设我们了解的一个网上攻击者转移到了新的IP地址,而其老的IP地址被分配给了一些清白的用户,那么这时这些用户的数据包就无法通过你的网络了。这种情况下,我们可以使用带-D选项的命令来删除现有的规则:  #iptables-tfilter-DOU

6、TPUT-d123.456.789.0/24-jDROP  缺省的策略  创建一个具有很好灵活性,可以抵御各种意外事件的规则需要花大量的时间。对于那些不想这样做的人,最基本的原则就是先拒绝所有的数据包,然后再允许需要的。下面我们来为每一个链设置缺省的规则:  #iptables-PINPUTDROP  #iptables-PFORWARDDROP  #iptables-POUTPUTACCEPT  这里选项-P用于设置链的策略,只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出,但不允许信息流入。但很多时候,我们还是需

7、要接收外部信息的。这时可使用以下命令:  #iptables-tfilter-AINPUT-s123.456.789.0/24-jACCEPT  SYN的使用  我们不能关闭所有的端口,那将会把我们自己完全与世隔绝。我们也不能只指定某些端口处于打开状态,因为我们无法预见哪一个端口将会被使用。事实上,只简单地允许目的地为某一特定端口的数据流通过将对阻止恶意的攻击毫无意义。那么我们怎样才能设置一个有效的规则,即可以允许普通用户正常通过,又可以阻止恶意攻击者访问我们的网络呢?  对于刚开始使用iptables的人,我们可以充分利用s

8、yn标识来阻止那些未经授权的访问。因为iptables只检测数据包的报头,所以不会增加有效负荷。事实上,除iptables以外,很多其它有用的数据包分析都是基于报头的。  比如,在进行Web冲浪时,一个请求从你的PC发送至其它某一个地方的Web服务器之上,接着该服务器就会响应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。