iptables防火墙及配置详细信息.docxVIP

防火墙iptables组件管理及配置防火墙基础防火墙的功能：ip地址保留和通信转发、防御dos攻击、ip和端口的过滤、内容过滤、包重定向、强化认证和加密、补充记录。防火墙的分类包过滤防火墙（网络层）内容过滤防火墙（应用层）包过滤防火墙、优点：实现简单、速度快、价格便宜、、缺点：不支持用户认证、规则的复杂度影响速度;功能较单一linux系统中常用的包过滤软件有、ipfwadm应用于2.0内核、ipchains应用于2.2 内核、iptables应用于2.4 内核注：我们常用到的是iptables软件 2.4内核的。iptables简介是一个linux系统中常用的包过滤软件、netfilter/iptables的含义Netfilter：是防火墙当中的系统独立模块，用于实现包过滤功能Iptables：是一种管理内核包的过滤的工具，为配置防火墙提供方便；netfilter/iptables的功能包过滤 NAT地址转换……防火墙定义：防火墙是由表组成的、表有链组成的、在由规则组成的链、而我们在链上设置规则。防火墙的简介：一个软件防火墙、有表和链、规则组成的。在iptables防火墙里是4表5链多规则，而在这里表有FILTET 表 NAT 表 MANGLE 表表作用：filtet表包过滤：nat表地址转换：mangle 表qos链链种类：INPUT OUTPUT FORWARD POSTROUTING PREROUTING规则规则含义：是一种包含条件的判断语句，用于确定如何处理数据包的。种类有：ACCEPT DROP FORWARD REJECT SNAT DNAT LOG TOS REDIRECT MASQUERRADE Filter 1、INPUT 2、OUTPUT 3、FORWARD Nat1、OUTPUT 2、POSTROUTNG 3、PREROUTINGMangle1、PREROUTING 2、OUTPUT 3、INPUT 4、POSTROUTING 5、FORWARDRAWPREROUTING 2、OUTPUT各表里有那些链表链Iptables的语法命令格式 : iptables表链规则动作条件参数：－A 在指定链中添加规则　　－D 在指定链中删除指定规则－Ｉ在指定规则前插入规则－Ｒ修改指定链中的指定规则－Ｌ显示链中的规则　－ｘｖｎＬ　显示链中的详细信息－Ｎ定义一个心的规则链（建立用户链）－Ｆ清空链中的规则－Ｘ删除用户自定义链－Ｐ设置链中的默认规则－Ｃ用具体的规则链来检查在规则中的数据包－ｈ显示帮助－Z 计数器清零-j 指定规则的处理方法规则解释：ACCEPT 接受匹配条件的数据包，应用于INPUT OUTPUT FORWARD 链上的。DROP 丢弃匹配的数据包应用于 INPUT OUTPUT FORWARD 链上的。REJECT 丢弃匹配的数据包且返回确认的数据包MASQUERADE 伪装数据包的源地址应用于POSTROUTING 且外网地址为动态地址，作用于NATREDIRECT 包重定向作用于NAT表中PREROUTING ,OUTPUT, 使用要加上—to-port端口号TOS 设置数据包的TOS字段应用于MANGLE要加上—set-tos值SNAT 伪装数据包的源地址应用于NAT 表中POSTROUTING 链，要加上—to-source ip地址DNAT 伪装数据包的目标地址应用于NAT表中PREROUTING 链，要加上--to-destination ip地址LOG 使用syslog记录的日志RETURN 直接跳出当前规则链条件 -i接口名指定接收数据包接口-o 接口名指定发送数据包接口-p [!]协议名指定匹配的协议（tcpudpicmp all）-s[!]ip地址[/mask] 指定匹配的源地址 --sport[!]端口号[:端口号] 指定匹配的源端口或范围-d [!]ip地址[/mask]指定匹配的目标地址--dport [!]端口号 [：端口号] 指定匹配的目标端口或范围--icmp-type[!]类型号/类型名指定icmp包的类型注：8 表示请求 request 0表示relay 应答 -mport [--multiport] 指定多个匹配端口limit [--limit] 指定传输速度mac [--mac-soutce] 指定匹配MAC地址注以上选项用于定义扩展规则数据包在防火墙里的流程图Iptables的使用rpm–ivhiptables-* .rpm 相关文件： /etc/rc.d/