常见iptables的firewall设定配置问题.doc

常见 iptables 的 firewall 设定配置问题:? ? ? ? 作者： 小州 (kenduest)标题列表项目:??(一般本机的 firewall 配置问题)1. 如何查询我目前 iptables 的配置组态设定 ?2. 如何关闭 Linux Distro 本身的 firewall 配置并让规则清空不启用？3. 关于 RedHat 9, Fedora 与 RHEL 的 firewall 配置问题 4. 如何使用手动方式清空与重置 iptables firewall rule？5. iptables firewall 本身封包比对判断流程图为何？6. iptables firewall 本身封包比对规则方式为何？7. 使用 -P INPUT DROP 引起的主机本身对外联机不通问题？ 8. 使用 -P INPUT DROP 导致本机存取自己服务也受到限制？ 9. 使用 -P INPUT DROP 引起的网路存取正常，但是 ftp 连入却失败？10. 使用 -P OUTPUT DROP 引起的网路不通问题？ 11. 有无建议本机 firewall 服务只有开放对外项目，其余禁止的配置方式？标题列表项目:??(提供 NAT 服务配置问题)1. 一般建议单纯化的 NAT 服务配置语法为何？2. 透过 NAT 上网的内部 ip 主机，ftp 连结存取错误？3. 如何配置连线到 NAT 主机某个对外 Port 时，可以转送到内部某主机？4. 使用 -j MASQUERADE 与 -j SNAT 于 NAT 使用差异 ?一般本机的 firewall 配置问题1. 如何查询我目前 iptables 的配置组态设定 ?? ?iptables 本身提供了 iptables-save 这个程序档案，执行后可以检视目前的配置。 iptables-save 若是使用 iptables 该主要的程序的话，可以搭配 -L 选项列出规则清单。不过由于 iptables 过滤本身是可以针对不同 table 来处理，传入 -t 可以查阅指定的 table，不指定时预设表示使用 filter table 项目。一般使用方式： iptables -Liptables -t nat -L 不过 iptables 对于规则内有 ip 地址项目时会进行反查解析出主机名称，这个也常导致反查时需要时间导致列出规则时卡住无法运作下去，所以实际上一般会搭配传入 -n 选项，表示不显示反查后主机名称结果。 iptables -L -niptables -t nat -L -n 当然，若是要查阅更详细的资讯，可以再搭配 -v 选项。 iptables -L -n -viptables -t nat -L -n -v =====2. 如何关闭 Linux Distro 本身的 firewall 配置并让规则清空不启用？各家发行版本都会提供各自的 firewall script 于开机时自动带入设定规则，所以并没有一个统一的做法。在 RHEL 与 Fedora Linux 内的开机 script 本身为 /etc/init.d/iptables，所以关闭方式手动可以执行： /etc/init.d/iptables stop 设定每次开启不启动该服务项目，可以使用 chkconfig 来关闭。 chkconfig iptables off ??若是 SLES 的话，修改 /etc/sysconfig/network/config 配置，里面可以找到: ? ? ? ? # With this variable you can determine if the SuSEfirewall when enabled? ? ? ? # should get started when network interfaces are starte ? ? ? ? FIREWALL=yes|no 这可以设定每次启动网路时是否启用 firewall 配置。3. 关于 RedHat 9, Fedora 与 RHEL 的 firewall 配置问题 系统本身提供配置 firewall 方式，文字模式是可以执行 setup 程序，? ?于 Firewall 项目进入后就可以选择新增相关规则。最后所开放允许的组态都是储存于 /etc/sysconfig/iptables 档案内。使用 /etc/init.d/iptables start 或者是 service iptables start 时，就会依据 /etc/sysconfig/iptables 设定的配置启用 firewall 设定。于 /etc/sysconfig