欢迎来到天天文库
浏览记录
ID:42770053
大小:33.00 KB
页数:5页
时间:2019-09-20
《Ipchains应用详解》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、前言对一个系统管理员来说,在网络环境里,保护系统与用户免受入侵者的破坏是一件非常重要的事,轻忽的系统管理会给这些入侵者许多攻击的目标。网络上的防火墙能够将你的私有区域网络隔离,并保护你的系统免受外界网络世界的干扰。Ipchains是Linux系统中比较出名的防火墙,它属于一种数据包过滤防火墙。使用Ipchains能够达到较好的保护你的系统免受外界网络世界的干扰的效果。Ipchains的基本设定首先,要使用Ipchains,你必须先将你的Linux系统核心更改为可支持数据包过滤的版本。你可以检查系统里的/proc/net/ip_fwchains这个文件是否存在,若是有
2、的话,你的系统核心已经支持数据包过滤的功能了。若是没有,请在核心配置文件内加上:CONFIG_FIREWALL=yCONFIG_IP_FIREWALL=y两个选项后重新编译你的系统核心。有关Ipchains的详细使用设定请参阅后面。这里先说明基本的操作。在刚开始系统缺省的情况下会有三个内建的chains:input、output、forward分别处理出入及传送的规则。Ipchains的基本操作如下:1.建立新的chain:ipchains-Nchain2.删除不要的chain:ipchains-Xchain3.改变chain的polich:ipchains-Pch
3、ainpolicy4.列出所有chain的rule:ipchains-L[chain]5.删除chain的所有rule:ipchains-F[chain]6.将chain的计数器归零:ipchains-Z[chain]以上[chain]若未指定的话就表示所有的chains更改chains的规则:1.增加一条新规则:ipchains-Achain2.删除第一个比对符合的规则:ipchians-Dchain3.删除某个位置号码的规则:ipchains-Dchainrulenum4.在某个位置号码插入一条新的规则:ipchains-Ichain[rulenum]5.更改某
4、个位置号码的规则:ipchains-Rchain[rulenum]以上的位置号码是规则比对的顺序(优先序),通常不加代表1(最优先)Ipchains的详细使用说明下列是ipchains用来新增及处理数据包比对规则的用法:ipchains-[ADC]chainrule-specification[options]ipchains-[RI]chainrulenumrule-specification[options]-A,--append增加一条或数条规则在指定的chain最后面。当来源或目的名称对应至数个地址时,这规则也会加上每个可能地址。-D,--delete从指定
5、的chain开始删除一条或数条规则。可以是规则在chain中的位置号码或者是一条用来比对的规则。-C,--check用来测试符合指定规则类型的数据包是否通过系统现在的规则。下列是关于设定一条规则可用的参数:-P,protocol[!]protocol这条规则要检查的协议,可以是tcp,udp,icmp或是all,也可以代表某个协议的数字或是名称。在协议前加上“!”符号就是做否定的检查。数字0是代表all。-s,--source[!]address[/mask][!][port[:port]]这个参数用来指定数据包的来源,Address可以是网络上的名称或是IP地址。
6、mask就是来源网络的掩码。后面可以加上来源的端口号码(IP数据包)或是ICMP的种类(ICMP数据包)。可以用数字或服务名称表示port或者可以用ipchains-hicmp来察看可以表示的ICMP种类。--source-port[!][port[:port]]用来单独指定来源port-d,destination[!]address[/mask][!][port[:port]]目的的地址(设定类似来源)--destination-port[!][port[:port]]用来单独指定目的port--icmp-type[!]typename用来单独表示ICMP的种类-
7、j,--jumptarget用来指定这条规则的目标。也就是比对符合这条规则后要做的事。目标可以是另一个chain(再比对一次),或一个特别的目标chain。-i,interface[!]name用来指出用来接收或送出数据包的网络界面名称。如果不设定本项时,是表示所有的网络界面。如果界面名称后面加上一个“+”号,则代表所有由这个名称开头的网络界面。[!]-f,--fragment这代表这条规则只会参考到数据包的第二或是更后面的部分,如果该数据包是分割成好几部分时。由于这就无法分辨出数据包的来源或目的端口,因此只要是规则中有包含指定端口或类型的,这个数据包都会比对失
此文档下载收益归作者所有