資源描述:
《IPTABLES詳解》由會(huì)員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1�����、IPTABLESiptables是與最新的3.5版本Linux內(nèi)核集成的IP信息包過(guò)濾系統(tǒng)���。如果Linux系統(tǒng)連接到因特網(wǎng)或LAN����、服務(wù)器或連接LAN和因特網(wǎng)的代理服務(wù)器�,則該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過(guò)濾和防火墻配置。1簡(jiǎn)介2系統(tǒng)優(yōu)點(diǎn)3命令說(shuō)明4相關(guān)應(yīng)用5相關(guān)命令6操作方法7規(guī)則示例8版本發(fā)布1簡(jiǎn)介防火墻在做信息包過(guò)濾決定時(shí)�,有一套遵循和組成的規(guī)則,這些規(guī)則存儲(chǔ)在專用的信息包過(guò)濾表中����,而這些表集成在Linux內(nèi)核中。在信息包過(guò)濾表中,規(guī)則被分組放在我們所謂的鏈(chain)中���。而netfilter/ipta
2���、blesIP信息包過(guò)濾系統(tǒng)是一款功能強(qiáng)大的工具,可用于添加����、編輯和移除規(guī)則。雖然netfilter/iptablesIP信息包過(guò)濾系統(tǒng)被稱為單個(gè)實(shí)體���,但它實(shí)際上由兩個(gè)組件netfilter和iptables組成��。netfilter組件也稱為內(nèi)核空間(kernelspace)���,是內(nèi)核的一部分,由一些信息包過(guò)濾表組成�����,這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集����。iptables組件是一種工具���,也稱為用戶空間(userspace)�,它使插入、修改和除去信息包過(guò)濾表中的規(guī)則變得容易��。除非您正在使用RedHatLinux7.1或更高版本����,
3、否則需要下載該工具并安裝使用它��。[1]與Linux內(nèi)核各版本集成的防火墻歷史版本:2.0.X內(nèi)核:ipfwadm2.2.X內(nèi)核:ipchains2.4.X內(nèi)核:iptables2系統(tǒng)優(yōu)點(diǎn)編輯netfilter/iptables的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻���,這是ipfwadm和ipchains等以前的工具都無(wú)法提供的一種重要功能���。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息�。在決定新的信息包過(guò)濾時(shí),防火墻所使用的這些狀態(tài)信息可以增加其效率和速度�。這里有四種有效狀
4、態(tài)�����,名稱分別為ESTABLISHED、INVALID���、NEW和RELATED����。狀態(tài)ESTABLISHED指出該信息包屬于已建立的連接����,該連接一直用于發(fā)送和接收信息包并且完全有效。INVALID狀態(tài)指出該信息包與任何已知的流或連接都不相關(guān)聯(lián)����,它可能包含錯(cuò)誤的數(shù)據(jù)或頭。狀態(tài)NEW意味著該信息包已經(jīng)或?qū)?dòng)新的連接��,或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)��。最后����,RELATED表示該信息包正在啟動(dòng)新連接,以及它與已建立的連接相關(guān)聯(lián)��。netfilter/iptables的另一個(gè)重要優(yōu)點(diǎn)是����,它使用戶可以完全控制防火墻配置和信息包過(guò)濾�。您
5����、可以定制自己的規(guī)則來(lái)滿足您的特定需求����,從而只允許您想要的網(wǎng)絡(luò)流量進(jìn)入系統(tǒng)。另外���,netfilter/iptables是免費(fèi)的���,這對(duì)于那些想要節(jié)省費(fèi)用的人來(lái)說(shuō)十分理想,它可以代替昂貴的防火墻解決方案����。3命令說(shuō)明Iptables是用來(lái)設(shè)置、維護(hù)和檢查L(zhǎng)inux內(nèi)核的IP包過(guò)濾規(guī)則的����。可以定義不同的表�,每個(gè)表都包含幾個(gè)內(nèi)部的鏈����,也能包含用戶定義的鏈�����。每個(gè)鏈都是一個(gè)規(guī)則列表��,對(duì)對(duì)應(yīng)的包進(jìn)行匹配:每條規(guī)則指定應(yīng)當(dāng)如何處理與之相匹配的包����。這被稱作'target'(目標(biāo)),也可以跳向同一個(gè)表內(nèi)的用戶定義的鏈��。TARGETS防火墻的規(guī)則指定所檢查
6���、包的特征���,和目標(biāo)。如果包不匹配��,將送往該鏈中下一條規(guī)則檢查�;如果匹配,那么下一條規(guī)則由目標(biāo)值確定.該目標(biāo)值可以是用戶定義的鏈名����,或是某個(gè)專用值��,如ACCEPT[通過(guò)],DROP[刪除],QUEUE[排隊(duì)]�,或者RETURN[返回]�。ACCEPT表示讓這個(gè)包通過(guò)。DROP表示將這個(gè)包丟棄����。QUEUE表示把這個(gè)包傳遞到用戶空間��。RETURN表示停止這條鏈的匹配���,到前一個(gè)鏈的規(guī)則重新開(kāi)始����。如果到達(dá)了一個(gè)內(nèi)建的鏈(的末端)�,或者遇到內(nèi)建鏈的規(guī)則是RETURN,包的命運(yùn)將由鏈準(zhǔn)則指定的目標(biāo)決定���。TABLES當(dāng)前有三個(gè)表(哪個(gè)表是當(dāng)前表取決于
7���、內(nèi)核配置選項(xiàng)和當(dāng)前模塊)����。-ttable這個(gè)選項(xiàng)指定命令要操作的匹配包的表��。如果內(nèi)核被配置為自動(dòng)加載模塊�����,這時(shí)若模塊沒(méi)有加載����,(系統(tǒng))將嘗試(為該表)加載適合的模塊。這些表如下:filter�,這是默認(rèn)的表,包含了內(nèi)建的鏈INPUT(處理進(jìn)入的包)�����、FORWARD(處理通過(guò)的包)和OUTPUT(處理本地生成的包)�。nat,這個(gè)表被查詢時(shí)表示遇到了產(chǎn)生新的連接的包��,由三個(gè)內(nèi)建的鏈構(gòu)成:PREROUTING(修改到來(lái)的包)�����、OUTPUT(修改路由之前本地的包)、POSTROUTING(修改準(zhǔn)備出去的包)�����。mangle這個(gè)表用來(lái)對(duì)指定的包
8����、進(jìn)行修改。它有兩個(gè)內(nèi)建規(guī)則:PREROUTING(修改路由之前進(jìn)入的包)和OUTPUT(修改路由IPTABLES之前本地的包)��。OPTIONS這些可被iptables識(shí)別的選項(xiàng)可以區(qū)分不同的種類�。COMMANDS這些選項(xiàng)指定執(zhí)行明確的動(dòng)作:若指令行
