基本的Iptables配置
IPtables是工具對那執行分组过滤法在Linux 2.4仁。 它是ipchains的替換在
老版本。 通过網絡被转移的整個數據以小包的形式。小包的倒栽跳水提供我們對于做出發送决定和其他行政細節是必需的信息。 转移的實際數據屬於身體。 要過濾小包,它的倒栽跳水被審查,並且适當行為采取。
問題然後出现為什麼我們需要審查倒栽跳水和過濾小包? 重要原因是加强網絡的安全。 例如我們也許想要保護我們的系統免受惡意局外人。 另一個原因是我們也許想要制約或控制屬於我們的網絡資源的用法。 例如我們也許想要允許交通僅有限的ammount通過通過。
基本格式
表
首选是桌。 有nat三种的桌即,軋布機和過濾器。
nat : 這張桌為网络地址转换法使用。 有三個鏈子PREROUTING,產品和POSTROUTING。 當他們进入防火牆, Prerouting鏈子被用于修改小包。 產品鏈子被用于修改當地引起的小包。 當他們離開防火牆,並且postrouting的鏈子被用于修改小包
軋布機: 這張桌被用于損壞小包並且有二個缺省鏈子。 不應該使用這張桌到過濾器小包或做任何地址转换。 二個缺省鏈子是PREROUTING和產品。 當他們进入防火牆,與prerouting在這裡nat桌里它也用于損壞小包。 並且產品被用于損壞當地引起的小包。 這張桌改變不同的小包,並且他們的倒栽跳水怎麼出现。 例如TTL或TOS。
過濾器: 這被用于實際上過濾小包,並且,如果桌選擇然後沒有指定命令被申請於此桌。 有三种鏈子輸入,產品和向前。 輸入鏈子在為地方主人是注定的小包使用。 產品在上述案件在當地引起的小包使用。 並且在其他鏈子今後使用。 可以采取的行动是下落,日誌,接受或者拒绝在每個鏈子。
命令
| - A, -添附 |
| iptables -輸入… |
| 這 命令添附在鏈子的末端。 |
| - D -刪除 |
| iptables - D輸入的- dport 80 - j下落 |
| iptables - D輸入了1 |
| 那裡 是二種方式刪除在鏈子的一個規則。 第一是指定 在第一個例子中將刪除的規則。 或者第二 指定規則的數字在第二個例子。 |
| - R -替換 |
| iptables iptables - R輸入1 - s 192.168.0.1 - j下落 |
| 這 使用取代詞條在一條具體線。 |
| - I -插入物 |
| iptables - I輸入了1 - dport 80 - j接受 |
| 這 在指定的地點插入規則。 |
| - L -名單 |
| iptables - L輸入 |
| 這 命令在指定的鏈子或桌里用于列出規則。 |
| - F -充足 |
| iptables - F輸入 |
| 這 在指定的鏈子或桌里沖洗所有規則。 它是等效的 對立即刪除所有規則。 |
| - N -新鏈子 |
| iptables - N givenName |
| 這 在指定的桌里增加一個新的鏈子與「givenName」。 |
| - X -刪除鏈子 |
| iptables - X givenName |
| 這 使用與在它的規則一起刪除整個鏈子。 |
| - P -政策 |
| iptables - P輸入下落 |
| 這 設置具體鏈子的缺省政策。 這适用于所有 不匹配在鏈子的任何規則的小包。 |
比賽
這用于作為延長的小包配比的模塊。 有是半新的二個選擇-由更多選擇跟随的p (-協議)或- m (-比賽)。 可以被匹配的協議選擇是tcp、udp和icmp。 比賽選擇是標記、極限、所有者、ttl、tos,狀態等。 三重要一次是ttl、tos和狀態。 ttl和tos是自已explainatory。 狀態選擇告诉小包的哪個狀態將與規則匹配。 有無效四個的狀態,建立,新和相關。 以下比賽用法的某一例子:
iptables -輸入- m狀態-陳述相關,建立
iptables -產品- m ttl - ttl 60
iptables -輸入- p tcp - dport 22目標或躍遷
當在鏈子的規則exmained,並且时沒有小包匹配目標選擇然後被放入行動的規則towhich。 允許的選擇是接受,滴下,排隊或者返回。 目標使用與- P。 躍遷選擇是作為目標它指定規則的目標的相同的,如果小包匹配規則。
配置文件
配置文件的地點在启动脚本/etc/rc.d/init.d/iptables指定。 當它開始时,這個配置文件由iptables讀。 因此做變動永久我們必須編輯這個文件。 有在发动的一個選擇保存变动做對這個文件,而不必手工編輯它的劇本『save。 因此在設置以后所有規則跑以下命令:
除這個文件的實際地點的之外/etc/rc.d/init.d/iptables是/etc/sysconfig/iptables。
