返回
RHEL5.7下iptables防火墙配置(上)

RHEL5.7下iptables防火墙配置(上)

ID:39467824

大小:146.00 KB

页数:5页

时间:2019-07-04

RHEL5.7下iptables防火墙配置(上)_第1页
RHEL5.7下iptables防火墙配置(上)_第2页
RHEL5.7下iptables防火墙配置(上)_第3页
RHEL5.7下iptables防火墙配置(上)_第4页
RHEL5.7下iptables防火墙配置(上)_第5页
资源描述:

《RHEL5.7下iptables防火墙配置(上)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、RHEL5.7下iptables防火墙配置(上)iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。iptables的一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求,从而只允许您想要的网络流量进入系统。另外,iptables是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂

2、贵的防火墙解决方案,并且其性能不输于一些专业的硬件防火墙。iptables的管理命令介绍在iptables防火墙中,它所有功能都是通过命令的形式实现的,因此iptables命令格式非常重要。iptables命令的操作对象包括:规则表(table):由规则链的集合组成,不同的规则表用于实现不同的功能规则链(chain):由规则的集合组成,保存在规则表中;不同规则链代表了不同的数据包流向。规则(rule):用于对防火墙策略进行设置,流经某个数据链的数据将按照先后顺序进行过滤。一条完整的iptables命令由以下几个

3、部分组成:iptables[-t表名]<命令>[链名][规则号][规则][-j目标]-t选项用于指定所使用的表,iptables防火墙默认有filter、nat和mangle这3张表,也可以是用户自定义的表。表中包含了分布在各个位置的链,iptables命令所管理的规则就是存在于各种链中的。该选项不是必需的,如果未指定一个具体的表,则默认使用的是filter表。命令选项是必须要有的,它告诉iptables要做什么事情,是添加规则、修改规则还是删除规则。有些命令选项后面要指定具体的链名称,而有些可以省略,此时,是

4、对所有的链进行操作。还有一些命令要指定规则号。具体的命令选项名称及其与后续选项的搭配形式如下所示。针对规则链<命令>的操作有:-L列出链中所有的规则-F清除链中的所有规则-P设置链的默认动作(ACCEPT/REJECT/DROP)-Z计数器清零-N定义一个新的规则链-X删除定义的规则链针对规则<命令>的操作有:-A追加一个规则-I插入一个规矩-D删除一个规则-R在指定的链中用新的规则置换掉某一规则号的旧规则查询iptables防火墙的状态(列出所有规则)iptables–L由上图可知,iptables设有三个[

5、链名],即input、forward和output,默认规则均为accept放行,我们可以分别通过这三个规则链调用不同的策略。以上是有关iptables命令格式中有关命令和规则链选项部分的解释。iptables命令格式中的规则部分由很多选项构成,主要指定一些IP数据包的特征。例如,上一层的协议名称、源IP地址、目的IP地址、进出的网络接口名称等,下面列出构成[规则号][规则]的常见选项。-p<协议类型>:指定上一层协议,可以是icmp、tcp、udp和all。-s:指定源IP地址或子网。-d<

6、IP地址/掩码>:指定目的IP地址或子网。-i<网络接口>:指定数据包进入的网络接口名称。-o<网络接口>:指定数据包出去的网络接口名称。注意:上述选项可以进行组合,每一种选项后面的参数前可以加"!",表示取反。对于-p选项来说,确定了协议名称后,还可以有进一步的子选项,以指定更细的数据包特征。常见的子选项如下所示。-ptcp--sport:指定TCP数据包的源端口。-ptcp--dport:指定TCP数据包的目的端口。-ptcp--syn:具有SYN标志的TCP数据包,该数据包要发起一

7、个新的TCP连接。-pudp--sport:指定UDP数据包的源端口。-pudp--dport:指定UDP数据包的目的端口。-picmp--icmp-type:指定icmp数据包的类型,可以是echo-reply、echo-request等。上述选项中,port可以是单个端口号,也可以是以port1:port2表示的端口范围。每一选项后的参数可以加"!",表示取反。最后,iptables命令中的-j选项可以对满足规则的数据包执行指定的操作,其后的[-j目标]可以是以下内容:-

8、jACCEPT:将与规则匹配的数据包放行,并且该数据包将不再与其他规则匹配,而是跳向下一条链继续处理。-jREJECT:拒绝所匹配的数据包,并向该数据包的发送者回复一个ICMP错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也不跳向下一条链。-jDROP:丢弃所匹配的数据包,不回复错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也不跳向下一条链。-jLOG:将与

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。