iptable 的安装与设定.doc

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
iptable 的安装与设定

iptables 的安装与设定 防火墙(Firewall)简介 ? 1. 防火墙可作用在网络层/传输层(Network/Transport Layer)或应用层(Application Layer),网络层的防火墙处理速度较快,使用者感觉不到但容易破解,应用层的防火墙处理速度慢但可检查的项目多,因此较不容易破解。 2. iptables 属于网络层/传输层的防火墙,它将封包的处理分成三个tables, table中包含chains, chains 里面包含 rules 和 policies。请参阅架构图 3. 三个tables分别是 ???(1) nat:提供地址转换(Network Address Translation)功能 ???(2) mangle:提供封包改写(Mangling)功能 ???(3) filter:提供封包过滤(Filtering)功能 移除 ipchain 模块 1. lsmod | grep ipchains 检查 ipchains 是否加载 kernel(因为RedHat目前预设安装的防火墙仍是使用 ipchains) 2. rmmod ipchains 从 kernel 移除 ipchains 模块 3. service ipchains stop 停止 ipchains 的执行 4. rpm -e ipchains-1.3.10-13 移除 ipchains 套件的安装 安装 iptables 模块 ? 1. rpm -Uvh iptables-1.2.5-3.i386.rpm 安装 iptables 套件 2. modprobe ip_tables 将 iptables 模块加载 kernel 3. lsmod ip_tables 检查 kernel 是否有 iptables 模块 iptable 指令格式 ? ??iptables [-t 表格名称] 指令 条件 [目标|链] 1. 指令集 -N 建立一个新的(自定)链 -X 删除一个空的(自定)链 -P 改变一个内建链的原则 -L 列出一个链中的规则 -F 清除一个(内建)链中的所有规则 -A 在一个链的最后面新增( append ) 一条规则 -I 在链内某个位置插入( insert ) 一条新规则 -R 在链内某个位置替换( replace ) 一条规则 -D 在链内某个位置删除( delete ) 一条规则 ? ? 2 . 目标集 ACCEPT 通过这个链检验,接受这个封包 SNAT 改变封包来源IP字段的值(nat, POST) DROP 未通过这个链检验,立即丢弃这个封包 DNAT 改变封包目标IP字段的值(nat, PRE,O) QUEUE 将封包重导至本机端的队列 ( queue ) 程序 MASQUERADE 动态的根据路由,来修改 Source Socket(nat, POST) RETURN 通过这个链的检验,回到原来的链中 REDIRECT 重导封包至另外一个地址或连接端口 TOS 改变封包 TOS 字段的值 TTL 改变封包 TTL 字段的值 REJECT 未通过这个链检验,丢回错误封包作回应(filter,I,F,O) ? ? 3. 条件 -i -o 相关界面 --sport 来源埠口 -p 所属协定(tcp, udp, icmp) -d 目的地(Address/SubnetMask) -m state 联机类型(ESTABLISHED, INVALID) --dport 目的地埠口 --tcp-flags --icmp-type 封包类型 INPUT OUTPUT FORWARD 封包于防火墙中的流向 -s 来源地(Address/SubnetMask) -j 跳至目标或自定链 在预设链中,规则(Rules)由第一条往下检查,当在某一条规则满足检验时(可能是拒绝或通行),往下的规则就不在检验。 在自定链中,规则(Rules)由第一条往下检查,当在某一条规则满足检验时(可能是拒绝或通行),往下的规则就不在检验,而跳回呼叫它的预设链,继续往下检验。 设定使用 iptables ? 1. 启动 kernel 的 ip_routing 功能 更改 /etc/sysctl.conf设定档,设定 net.ipv4.ip_forward = 1 或 执行 echo 1 /proc/sys/net/ipv4/ip_forward 2. 启动 iptables 服务 service iptables [start | restart | status] 当启动 iptables时,会读入 /etc/syscon

文档评论(0)

pab547 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档