Linux下Iptables配置.docx

Linux包过滤防火墙1,什么是包过滤防火墙2,包过滤的工作层工作在网络层3,工作原理数据包过滤通过对数据包的IP头和TCP或UDP头的检查来实现的主要有:IP源地址IP目标地址协议（tcp包，udp包,和icmp包）tcp或udp的源端口imcp消息类型tcp包头中的ack位数据包到达的端口数据包出去的端口包过滤技术的优缺点使用iptables实现包过滤相关的TCP/IP支持假如A要和B通信1,(SYN) B要和A通信时，B首先向A发一个SYN标记的包,告诉 A请求建立连接2,(SYN/ACK) A收到后回发送一对SYN包的确认包(SYN/ACK)回去，表示对第一个SYN包的确认，并继续握手操作3,(ACK) B收到SYN/ACK包后，B发一个确认包ACK,通知 A连接已建立。三次握手完成，一个TCP连接完成TCP连接的每个包都会设置ACK位,这就是连接跟踪的重要意义,放火墙将无法判断收到的ACK属于一个已经建立的连接结束TCP连接iptables语法一条iptables规则基本上因该包含5个要素指定表 table分别是 filter,nat和mangle指定操作命令 command 包括添加，删除，更新指定链 chains对于包过滤防火墙可操作filter表中的INPUT链，OUTPUT链和 FORWARD链指定规则匹配器 mather 可以指定各种规则匹配，如IP地址，端口，包类型指定目标动作 target 当规则匹配一个包时，真正要执行的任务用目标标识。最常目标为ACCEPT,DROP,REJECT表示拒绝，丢弃包的同时给发送没有接受的通知,LOG表示包的有关信息被记录日志，TOS表示改写包的TOS值语法:iptables [-t table] CMD [chain] [rule-matcher] [-j target]table为表名,CMD为操作命令,chain为链名,rule-matcher为规则匹配器，target为目标动作iptables的常用操作命令-A 或 --append 在所有的链的结尾加入一条或多条规则-D 或 --delete 在所有的链删除-R 或 --replace 替换一条匹配的规则-I 或 --insert 以给出的规则号在所选链中插入一条或多条规则。如果规则号是１，插入的规则的链的头部-L 或 --list列出指定链的所有规则，如果没有指定链，将列出所有链中的所有规则-F 或 --flush清除指定链和表中的所有规则，假如不指定，将全部删除-N 或 --new-chain以给定的名字创建一条新的用户自定义链。不能与已有的链同名-X 或 --delete-chain删除指定的用户定义链-P 或 --policy(n政策,方针) 为永久链指定默认规则。用户定义链没有默认规则。缺剩规则也是规则链中的最后一条规则用-L命令显示时它在第一行显示-C 或 --check检测给定的包是否与指定链的规则相匹配-X 或 --zero 将指定链中所有规则的包字节(byte)计数器清零-h 显示帮助信息iptables常用的规则匹配器-p,[!]protocol指出要匹配的协议，可以是tcp,udp,icmp,all.协议名前缀!, 为逻辑非-s[!]address[/mask] 根据源地址或地址范围确定是否允许或拒绝数据包通过过滤器--sport[!]port[:port] 指定匹配规则的源端口或端口范围。可以用端口号-d[!]address[/mask] 根据目的地址或地址范围确定是否允许或拒绝数据包通过过滤器-dport[!]port[:port] 指定匹配规则的目的端口或端口范围，可以用端口号，也可以用/etc/services文件中的名字--icmp-type[!]typename 指定匹配规则的ICMP信息类(可以使用iptables -p icmp -h 查看有效的icmp类型名)-i[!]interface name[+] 匹配单独的接口或某种类型的接口设置过滤规则。此参数忽略时，默认符合所有接口。接口可以使用否定符!来匹配不是指定接口来包.参数interfacename是接口名,如eth0,eth1,ppp0等。指定一个目前不存在的接口是完全合法的。规则直到接口时才起作用,这种指定对于PPP及该选项只有对INPUT,FROWARD和 PREROUTING链是合法的-o[!]interface name[+]仅仅匹配设置了SYN位,清除了ACK,FIN位的TCP包.这些包表示请求初始化的TCP连接。阻止从接口来的这样的包将会组织外来的TCP连接请求。但输出的TCP连接请求将不受影响。这