iptables配置工具比较

核心提示： 规则链维护选项1.建立新的规则链(-N)2.删除一个空的规则链(-X)3.改变一个内置规则链的策略(-P)4.列出一条规则链中的规则(-L)5.擦写一条规则链中的规则(-F)规则维护1.在一条规则链中加入一条新的规则(-A)2.删除一条规则链中某个位置的规则(-D)iptables的优点在

规则链维护选项

1.建立新的规则链(-N)

2.删除一个空的规则链(-X)

3.改变一个内置规则链的策略(-P)

4.列出一条规则链中的规则(-L)

5.擦写一条规则链中的规则(-F)

规则维护

1.在一条规则链中加入一条新的规则(-A)

2.删除一条规则链中某个位置的规则(-D)

iptables的优点

在讨论各种iptables配置工具之前，让我们看一下iptables的优点，尤其是netfilter比ipchains具有的优势。

iptables允许建立状态(stateful)防火墙，就是在内存中保存穿过防火墙的每条连接。这种模式对于有效地配置FTP和DNS以及其它网络服务是必要的。

iptables能够过滤TCP标志任意组合报文，还能够过滤MAC地址。

系统日志比ipchains更容易配置，扩展性也更好。

对于网络地址转换(Network Address Translation)和透明代理的支持，netfilter更为强大和易于使用。

iptable能够阻止某些DOS攻击，例如SYS洪泛攻击。

iptables配置工具

现在，我们看一下linux iptables的一些配置工具。我主要关注每个工具的特征、弹性和易用性。我们将讨论以下的工具：

MonMotha's Firewall 2.3.5 作者：MonMotha

Firewallscript (iptables 4.4c-3 devel) 作者：Patrik Hildingsson

Ferm-0.0.18 作者：Auke Kok

AGT-0.83 作者：Andy Gilligan

Knetfilter-1.2.4 作者：Luigi Genoni

gShield-2.0.2 作者：R. Gregory

MonMotha的Firewall 2.3.5

MonMotha写的Firewall 2.3.5是一个大约30K的shell脚本。目前，主要适用于基于主机的保护，因为一些基于网络的选项正在开发中。这个脚本的界面(例如：给 iptables传递配置选项的方法)有点混乱。不过，它不需要配置文件而且安装容易，直接复制到任何地方都可以。默认情况下，它根本不做什么，实际上根本就不执行，也缺少文档。这个脚本对于拨号用户可能有点用处。