基于Linux系统的包过滤防火墙(2)

核心提示： Echo（8）、Timestamp(13)、Address Mask Request(17)能用来分别判断主机是否启动、本地时间和地址掩码，它们是和返回的信息类别有关的，基于Linux系统的包过滤防火墙(2)(3)，其本身是不能被利用的，但它们泄漏出的信息对攻击者是有用的，目标动作，当规则

Echo（8）、Timestamp(13)、Address Mask Request(17)能用来分别判断主机是否启动、本地时间和地址掩码。它们是和返回的信息类别有关的。其本身是不能被利用的，但它们泄漏出的信息对攻击者是有用的，所以建议丢弃这些类型的ICMP。

关于ICMP类型的更详细的表述参见RFC792。

2.2 iptables语法

2.2.1 Iptables的优点

→ iptables允许建立状态（stateful）防火墙，就是在内存中保存穿过防火墙的每条连接。这种模式对于有效地配置FTP和DNS以及其它网络服务是必要的。

→iptables能够过滤TCP标志任意组合报文，还能够过滤MAC地址。

→系统日志比ipchains更容易配置，扩展性也更好。

→对于网络地址转换（Network Address Translation）和透明代理的支持，Netfilter更为强大和易于使用。

→iptables能够阻止某些DoS攻击，例如SYS洪泛攻击。

2.2.2 Iptables的规则要素

一条iptables规则基本上应该包含5个要素：

→指定表（table）

→指定操作命令（command）

→指定链（chains）

→指定规则匹配器（matcher）

→指定目标动作（target）

(1)表。Iptables从其使用的3个表而得名，分别是filter、nat、mangle。对于包过滤防火墙只使用filter表。表filter是默认的表，无需显示说明。

(2)操作命令。包括添加、删除、更新等。

(3)链。对于包过滤防火墙可操作filter表中的INPUT链、OUTPUT链和FORWARD链。也可以操作由用户自己定义的自定义链。

(4)规则匹配器。可以指定各种规则匹配，如IP地址、端口、包类型等。

目标动作。当规则匹配一个包时，真正要执行的任务用目标标识。最常用的内置目标分别是：