Ipchains应用详解.docVIP

前言对一个系统管理员来说，在网络环境里，保护系统与用户免受入侵者的破坏是一件非常重要的事，轻忽的系统管理会给这些入侵者许多攻击的目标。网络上的防火墙能够将你的私有区域网络隔离，并保护你的系统免受外界网络世界的干扰。Ipchains是Linux系统中比较出名的防火墙，它属于一种数据包过滤防火墙。使用Ipchains能够达到较好的保护你的系统免受外界网络世界的干扰的效果。Ipchains的基本设定首先，要使用Ipchains，你必须先将你的Linux系统核心更改为可支持数据包过滤的版本。你可以检查系统里的/proc/net/ip_fwchains这个文件是否存在，若是有的话，你的系统核心已经支持数据包过滤的功能了。若是没有，请在核心配置文件内加上：CONFIG_FIREWALL=yCONFIG_IP_FIREWALL=y两个选项后重新编译你的系统核心。有关Ipchains的详细使用设定请参阅后面。这里先说明基本的操作。在刚开始系统缺省的情况下会有三个内建的chains：input、output、forward分别处理出入及传送的规则。Ipchains的基本操作如下：1.建立新的chain：ipchains -N chain2.删除不要的chain：ipchains -X chain3.改变chain的polich：ipchains -P chain policy4.列出所有chain的rule：ipchains -L [chain]5.删除chain的所有rule：ipchains -F [chain]6.将chain的计数器归零：ipchains -Z [chain]以上[chain]若未指定的话就表示所有的chains更改chains的规则：1.增加一条新规则：ipchains -A chain2.删除第一个比对符合的规则：ipchians -D chain3.删除某个位置号码的规则：ipchains -D chain rulenum4.在某个位置号码插入一条新的规则：ipchains -I chain [rulenum]5.更改某个位置号码的规则：ipchains -R chain [rulenum]以上的位置号码是规则比对的顺序(优先序)，通常不加代表1(最优先)Ipchains的详细使用说明下列是ipchains用来新增及处理数据包比对规则的用法：ipchains - [ADC] chain rule-specification [options]ipchains - [RI] chain rulenum rule-specification [options]-A，--append增加一条或数条规则在指定的chain最后面。当来源或目的名称对应至数个地址时，这规则也会加上每个可能地址。-D，--delete从指定的chain开始删除一条或数条规则。可以是规则在chain中的位置号码或者是一条用来比对的规则。-C，--check用来测试符合指定规则类型的数据包是否通过系统现在的规则。下列是关于设定一条规则可用的参数：-P，protocol [!] protocol这条规则要检查的协议，可以是tcp，udp，icmp或是all，也可以代表某个协议的数字或是名称。在协议前加上“!”符号就是做否定的检查。数字0是代表all。-s，--source [!] address[/mask] [!] [port[:port]]这个参数用来指定数据包的来源，Address可以是网络上的名称或是IP地址。mask就是来源网络的掩码。后面可以加上来源的端口号码(IP数据包)或是ICMP的种类(ICMP数据包)。可以用数字或服务名称表示port或者可以用ipchains -h icmp来察看可以表示的ICMP种类。--source-port[!][port[:port]]用来单独指定来源port-d，destination[!]address[/mask][!][port[:port]]目的的地址(设定类似来源)--destination-port[!][port[:port]]用来单独指定目的port--icmp-type[!]typename用来单独表示ICMP的种类-j，--jump target用来指定这条规则的目标。也就是比对符合这条规则后要做的事。目标可以是另一个chain(再比对一次)，或一个特别的目标chain。-i，interface[!]name用来指出用来接收或送出数据包的网络界面名称。如果不设定本项时，是表示所有的网络界面。如果界面名称后面加上一个“+”号，则代表所有由这个名称开头的网络界面。[!]-f，--