返回
用iptables构建防火墙

用iptables构建防火墙

ID:44218834

大小:261.76 KB

页数:13页

时间:2019-10-19

用iptables构建防火墙_第1页
用iptables构建防火墙_第2页
用iptables构建防火墙_第3页
用iptables构建防火墙_第4页
用iptables构建防火墙_第5页
资源描述:

《用iptables构建防火墙》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何使用netfilter/iptables构建防火墙对于Internet±的系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。Linux提供了一个非常优秀的防火墙工具一netfilter/iptables。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。木文将简单介绍使用netfilter/iptables实现防火墙架设和Internet连接共享等应用。netfilter/iptabels应用程序,被认为是Linux中实现包过滤功能的第四代

2、应用程序。netfilter/iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能onetfilter_L作在内核内部,而iptables则是让用户定义规则集的表结构。netfilter/iptables从ipchains和ipwadfm(IP防火墙管理)演化而来,功能更加强大。下文将netfilter/iptabels统一称为iptables«可以用iptables为Unix、Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创建防火墙以保护其它的系统平台。iptales只读取数据包头,不会给信息流增加负

3、担,也无需进行验证。要想获得更好的安全性,可以将其和一个代理服务器(比如squid)相结合。基本概念典型的防火墙设置有两个网卡:一个流入,一个流出。iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、

4、去除、编辑规则的命令,一般语法如下:iptables[一ttable]command[match][target]1.表(table)[-ttable]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项:filter、nat和mangle。该选项不是必需的,如果未指定,则filter作为缺省表。各表实现的功能如表1所示。表名实现功能filter用于一般的信息包过滤,包含INPUT、OUTPUT和FORWARD链mt用于要转发的信息包,包含PREROUTING.OUTPUT和POSTROUTING链mangle包含

5、一些规则来标记用于高级路由的信息包,包含PREROUTING和OUTPUT链。女口果信息包及其头内进行了任何更改,则使用该表,本文不讨论该表。表1三种表实现的功能1.命令(command)command部分是iptables命令最重要的部分。它告诉iptables命令要做什么,例如插入规则、将规则添加到链的末尾或删除规则。表2是最常用的一些命令及例子。命令功能样例及说明・A或-append该命令将一条规则附加到链的末尾。Siptables-AINPUT-s210.31.&98寸ACCEPT该示例命令将一条规则附加到INPUT链的末尾,确定来自源地址210.31.8.

6、98的信息包可以接收。•D或-delete通过用・D指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除该规则。$iptables-DINPUT-dport80-jDROP$iptables-DOUTPUT3第一条命令从INPUT链删除规则,它指定丢弃前往端口80的借息包•第二条命令只是从OUTPUT链制除编号为3的规则。・p或-policy该命令设直链的缺省目标,即策略。所有与链中任何规则都不匹配的信息包将被强制使用此链的策略。$iptables-PINPUTDROP该命令将INPUT链的缺省目标指定为DROP。这将丢弃所有与INPUT链中任何规则都不匹

7、配的信息包。・N或-new-chain用命令中所指定的名称创建一个新链•Siptables-Nallowed-chain・F或-flush如果指定链名,该命令删除链中的所有规则:如果未指定链名,该命令删除所有链中的所有规则。此参数用于快速清除。$iptables-FFORWARDSiptables-F•L或-list列出指定链中的所有规则。$iptables-Lallowed-chain表2命令的功能和样例1.匹配(match)iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等)。匹配分为通用匹配和特定于协议的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。