WEB开发网
开发学院网络安全防火墙 用Linux+Iptables构建防火墙实例 阅读

用Linux+Iptables构建防火墙实例

 2007-07-13 12:46:43 来源:WEB开发网   
核心提示: -L Chain 显示Chain中的所有规则 -A Chain 对Chain新增一条规则 -D Chain 删除Chain中的一条规则 -I Chain 在Chain中插入一条规则 -R Chain 替换Chain中的某一条规则 -P Chain 对Chain设定的预设的Policy -F

-L Chain 显示Chain中的所有规则

-A Chain 对Chain新增一条规则

-D Chain 删除Chain中的一条规则

-I Chain 在Chain中插入一条规则

-R Chain 替换Chain中的某一条规则

-P Chain 对Chain设定的预设的Policy

-F Chain 清除Chain中的所有规则

-N Chain 自订一个Chain

-X 清除所有的自订Chain

CHAINS:

Iptables 有五条默认的Chains(规则链),如下表:

Chains 发生的时机

PREROUTING 数据包进入本机后,进入Route Table前

INPUT 数据包通过Route Table后,目地为本机

OUTPUT 由本机发出,进入Route Table前

FORWARD 通过Route Table后,目地不是本机时

POSTROUTING 通过Route Table后,送到网卡前

PATTERN(设定条件部份):

参数 内容 说明

-p Protocol 通讯协议,如tcp,udp,icmp,all等。。。

-s Address 指定的Source Address为Address

-d Address 指定的Destination Address为Address

-I Interface 指定数据包进入的网卡

-o Interface 指定数据包输出的网卡

-m Match 指定高级选项,如mac,state,multiport等。。。

TARGET(常用的动作):

TARGET 说明

ACCEPT 让这个数据包通过

DROP 丢弃数据包

RETURN 不作对比直接返回

QUEUE 传给User-Space的应用软件处理这个数据包

SNAT nat专用:转译来源地址

DNAT nat专用:转译目地地址

MASQUERADE nat专用:转译来源地址成为NIC的MAC

REDIRECT nat专用:转送到本机的某个PORT

用/etc/rc.d/init.d/iptables save可在/etc/sysconfig/中产生一iptables文件,大家可以看到,它有三个*号开始的行,其每一个以*号开始的行对应一个table,以COMMIT表示此table 的结束。可将要定的规则加入到对应的table中,如下:

上一页  1 2 3 4 5 6  下一页

Tags:Linux Iptables 构建

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接