返回
centos下iptables详解

centos下iptables详解

ID:14322577

大小:42.00 KB

页数:14页

时间:2018-07-27

centos下iptables详解_第1页
centos下iptables详解_第2页
centos下iptables详解_第3页
centos下iptables详解_第4页
centos下iptables详解_第5页
资源描述:

《centos下iptables详解》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、centos下iptables详解centos下iptables详解1.引言CentOS內置了一个非常強劲的防火牆,统称为iptables,但更正确的名称是iptables/netfilter。iptables是一个用戶空间的模块。作为用戶,你在命令行就是通过它将防火牆规则放进缺省的表裡。netfilter是一个核心模块,它內置於內核中,进行实际的过滤。iptables有很多前缀图像界面可以让用戶新增或定义规则,但它们很多时不及使用命令行般有灵活性,而且限制用戶了解实际发生的事情。我们将会学习iptables的命令行界面。在我们正式应付ipta

2、bles前,我们必须对它的运作有一个基本的理解。iptables利用到IP地址、协议(tcp、udp、icmp)及端口这些概念。我们不需要成为这些方面的专家(因为我们可以找到所需的信息),但对它们有一般的理解会有帮助。iptables将规则放进缺省的规则链(INPUT、OUTPUT及FORWARD),而所有流量(IP压缩)都会被相关的规则链检查,根据当中的规则判断如何处理每个压缩,例如:接纳或丟棄它。这些动作称为目标,而最常见的两个缺省目标就是DROP来丟棄压缩;或ACCEPT来接纳压缩。规则链我们可以在过滤表的3条缺省规则链內加入规则,来处理

3、通过这些规则链的压缩。它们分別是:*INPUT-所有以主机为目的地的压缩。*OUTPUT-所有源自主机的压缩。*FORWARD-这些压缩的目的地或来源地都不是主机,但路经主机(由它选路)。假若你的主机是一个路由器,这条规则链将会被应用。我们将会花费最多时间处理INPUT规则链,借以过滤进入我们的机器的压缩——亦即是将坏蛋拒诸门外。规则是以列表的方式被加进每条规则链。每个压缩会被头一条规则开始检查,才至最后一条。假若压缩与其中一条规则吻合,相应的动作便会被执行,例如接纳(ACCEPT)或丟棄(DROP)压缩。一但有吻合的规则,这个压缩便会按照规则

4、来处理,而不再被规则链內的其它规则所检查。假如压缩通过所有检查而不符合任何规则链內的任何一条规则,那应这条规则链的缺省动作将会被执行。这就是所谓的缺省政策,可以设置为接纳(ACCEPT)或丟棄(DROP)压缩。规则链拥有缺省政策这个概念带来两个基本的可能性,而我们必须考虑它们才能決定如何组织我们的防火牆。1.我们可以缺省一个政策来丟棄(DROP)所有压缩,然后刻意加入规则来接纳(ACCEPT)源自被信任的IP地址的压缩,或者打开那些提供服务的端口,如:bittorrent、FTP服务器、网页服务器、Samba文件服务器等。又或者,2.我们可以缺

5、省一个政策来接纳(ACCEPT)所有压缩,然后刻意加入规则来拦截(DROP)来自有问题的IP地址或系列的压缩,也或者阻止压缩进出只作私人用途或未提供服务的端口。普遍来說,第一个方法多数用在INPUT规则链,因为我们会希望控制哪些东西可以访问我们的机器;而第二个方法多数用在OUTPUT规则链,因为我们多数信赖那些离开(源自)我们机器的压缩。2.準备开始在命令行上使用iptables需要root的权限,因此你必须化身为root用戶来做下面的事情。[attachment:ArtWork/WikiDesign/icon-admonition-atten

6、tion.png]注意:我们将会停用iptables及复位你的防火牆规则,因此假若你依赖你的Linux防火牆作为第一道防線,请特別留意这点。iptables应该缺省被安装在所有CentOS3.x、4.x及5.x上。你可以这樣来检查iptables是否已安装在你的系统上:$rpm-qiptablesiptables-1.3.5-1.2.1要知道iptables是否正在运作中,我们可以检查iptables这个模块是否已被装入,並利用-L这个选项来查看活动的规则:#lsmod

7、grepip_tablesip_tables292881iptable_f

8、ilterx_tables291926ip6t_REJECT,ip6_tables,ipt_REJECT,xt_state,xt_tcpudp,ip_tables#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationRH-Firewall-1-INPUTall--anywhereanywhereChainFORWARD(policyACCEPT)targetprotoptsourcedestinationRH-Firewall-1-INPUTall--anywherea

9、nywhereChainOUTPUT(policyACCEPT)targetprotoptsourcedestinationChainRH-Firew

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。