返回
IPTABLES指南

IPTABLES指南

ID:37133531

大小:181.00 KB

页数:75页

时间:2019-05-18

IPTABLES指南_第1页
IPTABLES指南_第2页
IPTABLES指南_第3页
IPTABLES指南_第4页
IPTABLES指南_第5页
资源描述:

《IPTABLES指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IPTABLES指南1.序言1.1.为什么要写这个指南我发现目前所有的HOWTO都缺乏Linux2.4.x内核中的Iptables和Netfilter函数的信息,于是我试图回答一些问题,比如状态匹配。我会用插图和例子rc.firewall.txt加以说明,此处的例子可以在你的/etc/rc.d/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。还有一个小脚本rc.flush-iptables.txt,我写它只是为使你在配置它的时候能象我一样有成功的感觉。-----------------------------------------

2、---------------------------------------1.2.指南是如何写的我请教了MarcBoucher及netfilter团队的其他核心成员。对他们的工作以及对我在为boingworld.com书写这个指南时的帮助表示极大的谢意,现在这个指南在我自己的站点frozentux.net上进行维护。这个文档将一步一步教你setup过程,让你对iptables包有更多的了解。这大部分的东西都基于例子rc.firewall文件,因为我发现这是学习iptables的一个好方法。我决定自顶向下地跟随rc.firewall文件来学习iptables。虽然

3、这样会困难一些,但更有逻辑。当你碰到不懂的东西时再来查看这个文件。--------------------------------------------------------------------------------1.3.文中出现的术语文中包含了一些术语,你应该有所了解。这里有一些解释,并说明了本文中如何使用它们。DNAT-DestinationNetworkAddressTranslation目的网络地址转换。DNAT是一种改变数据包目的ip地址的技术,经常和SNAT联用,以使多台服务器能共享一个ip地址连入Internet,并且继续服务。通过对同一个

4、ip地址分配不同的端口,来决定数据的流向。Stream-流是指发送和接收的数据包和通信的双方都有关系的一种连接(译者注:本文中,作者把连接看作是单向的,流表示双向的连接)。一般的,这个词用于描述在两个方向上发送两个或三个数据包的连接。对于TCP,流意味着连接,它发送了一个SYN,然后又回复SYN/ACK。但也可能是指这样的连接,发送一个SYN,回复ICMP主机不可达信息。换句话说,我使用这个词很随意。SNAT-SourceNetworkAddressTranslation源网络地址转换。这是一种改变数据包源ip地址的技术,经常用来使多台计算机分享一个Internet

5、地址。这只在IPv4中使用,因为IPv4的地址已快用完了,IPv6将解决这个问题。State-状态指明数据包处于什么状态。状态在RFC793-TransmissionControlProtocol中定义,或由用户在Netfilter/iptables中自定义。需要注意的是Netfilter设定了一些关于连接和数据包的状态,但没有完全使用使用RFC793的定义。Userspace-用户空间,指在内核外部或发生在内核外部的任何东西。例如,调用iptables-h发生在内核外部,但iptables-AFORWARD-ptcp-jACCEPT(部分地)发生在内核内部,因为一

6、条新的规则加入了规则集。Kernelspace-内核空间,与用户空间相对,指那些发生在内核内部。Userland-参见用户空间target-这个词在后文中有大量的应用,它表示对匹配的数据包所做的操作。--------------------------------------------------------------------------------2.准备阶段这一章是学习iptables的开始,它将帮助你理解Netfilter和iptables在Linux中扮演的角色。它会告诉你如何配置、安装防火墙,你的经验也会随之增长。当然,要想达到你的目标,是要花费时

7、间,还要有毅力。(译者注:听起来很吓人的:))--------------------------------------------------------------------------------2.1.哪里能取得iptablesiptables可以从www.netfilter.org下载,网站中的FAQs也是很好的教程。iptables也使用一些内核空间,可以在用makeconfigure配置内核的过程中配置,下面会介绍必要的步骤。------------------------------------------------------------

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。