51cto下载-iptables防火墙教程（itaa红火）.pdf

ITAA 红火网络安全之iptables 防火墙入门与精通 一、简介 当本地网络与全球INTERNET 建立连接后，从理论上讲，所有联入互联网的计算机与本 地网络中的计算机的物理网线已经联通了，很显然，这里就存在着一个是否信任并允许全球 的网络计算机访问本地网络的一个问题。对此只要在本地网络和全世界联网计算机的物理线 路之间架设一道防火墙，一切均可解决。 对于防火墙的选择，分为硬件防火墙和软件防火墙，这里我主要给大家介绍的是LINUX 下的iptables 软件防火墙，它可以对安全级别进行有效控制，并可对包过滤控制条目等很多 内容进行灵活控制。 二、IPTABLES 的原理介绍 Iptables 不仅是一种新的报文过滤器，还是一种涉及内核的数据报文的完整框架，这种 框架在内核中也就是被俗称的“表”，该表一共涉及有三种： （一）报文数据过滤器表（FILTER 表） （二）网络地址转换表（NAT 表） （三）报文数据修复表（MANGLE 表） 所有的数据都将至少流经这3 个表的其中一个表。但每个表又包含链，而链又包含条 目规则。 表 链 规则 INPUT INPUT FILTER FORWARD FORWARD OUTPUT OUTPUT NAT PREROUTING PREROUTING MANGLE POSTROUTING POSTROUTING 1、FILTER 表不会对数据报文进行修改，只进行过滤； 2、NAT 表主要对网络地址进行转换，即把数据报文中 IP 地址部分进行转换，也称为 IP 伪 装； 3、MANGLE 表可以对实现路由前对数据报文的报头进行修改，或给数据报文附上一些数据； 三、IPTABLES 安装编译模块 IPTABLES 默认安装在RED HAT LINUX9 中，查看是否运行命令： ＃service iptables status 四、IPTABLES 命令语法 Iptables [-flags] [chain] [options] [extensions] [ACTION] 标志项 链 选项 扩展功能 事件项 1、IPTABLES 的标志项与命令  －t table:选项允许使用标准表之外的任何表。  －A 或――append:将一条或多条规则附加到指定链的末尾；  －D 或-- -- delete:通过-D 指定要莸匹配的规则或者指定规则在链中的位置编号， 从而删除该规则；  －P 或――policy:该命令设置链的默认目标，即策略； ITAA 红火 专注网络安全，提升服务品质 QQ:244298220 MSN:vip2005ljsh@ 1 ITAA 红火网络安全之iptables 防火墙入门与精通  －N 或――new-chian:用命令中所指定的名称创建一个新链；  －F 或-- --flush:用于快速清除所有规则；  －L:列出指定链中的所有规则；  －I:在指定链的指定规则号处插入一个或多个规则；  －R:取代指定链中的规则；  －X:删除指定的自定义链；  －Z:清空报文和字节计数器；  －E:重命名一个自定义链； 2、IPTALES 的选项  －p:该通用协议匹配用于检查某特定协议。协议示例有：TCP\ UDP\ ICMP;  －d:address 指定目标IP 地址。它可能是一个IP 地址，一个IP 网络地址；  －s:源IP 地址；