欢迎来到天天文库
浏览记录
ID:51675181
大小:50.95 KB
页数:9页
时间:2020-03-14
《iptables静态防火墙教程.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、iptables中的指令,均需区分大小写。ipchains和iptables在语法上的主要的差异,注意如下∶1.在ipchains中,诸如input链,是使用小写的chains名,在iptables中,要改用大写INPUT。2.在iptables中,要指定规则是欲作用在那一个规则表上(使用-t来指定,如-tnat),若不指定,则预设是作用在filter这个表。3.在ipchains中,-i是指介面(interface),但在iptables中,-i则是指进入的方向,且多了-o,代表出去的方向。4.在iptable
2、s中,来源port要使用关键字--sport或--source-port5.在iptables中,目的port要使用关键字--dport或--destination-port6.在iptables中,"丢弃"的处置动作,不再使用DENY这个target,改用DROP。7.在ipchains的记录档功能-l,已改为目标-jLOG,并可指定记录档的标题。8.在ipchains中的旗标-y,在iptables中可用--syn或--tcp-flagSYN,ACK,FINSYN9.在iptables中,imcpmessag
3、es型态,要加上关键字--icmp-type,如∶iptables-AOUTPUT-oeth0-picmp-s$FW_IP--icmp-type8-dany/0-jACCEPTiptables使用时的样板在设定iptables的封包过滤规则时,有几个样板的动作,若先熟に牵缶涂勺孕刑子茫来死嗤疲芸斓兀涂梢越胝飧鎏斓刂小?/P>观察目前的设定作法如下∶iptables-L-niptablse-tnat-L-n定义变数FW_IP="163.26.197.8"打开核心forward功能作法如下∶###-
4、----------------------------------------------------####打开forward功能###-----------------------------------------------------###echo"1">/proc/sys/net/ipv4/ip_forward清除所有的规则一开始要先清除所有的规则,重新开始,以免旧有的规则影响新的设定。作法如下∶###-------------------------------------------------
5、----####清除先前的设定###-----------------------------------------------------####清除预设表filter中,所有规则链中的规则iptables-F#清除预设表filter中,使用者自订链中的规则iptables-X#清除mangle表中,所有规则链中的规则iptables-F-tmangle#清除mangle表中,使用者自订链中的规则iptables-tmangle-X#清除nat表中,所有规则链中的规则iptables-F-tnat#清除nat
6、表中,使用者自订链中的规则iptables-tnat-X选定预设的政策接着,要选定各个不同的规则链,预设的政策为何。作法如下∶预设全部丢弃∶###-----------------------------------------------------####设定filtertable的预设政策###-----------------------------------------------------###iptables-PINPUTDROPiptables-POUTPUTDROPiptables-PFOR
7、WARDDROP或者预设全部接受∶###-----------------------------------------------------####设定filtertable的预设政策###-----------------------------------------------------###iptables-PINPUTACCEPTiptables-POUTPUTACCEPTiptables-PFORWARDACCEPT各个规则链的预设政策可独立自主的设定,不必受其它链的影响。以下练习,若目标为D
8、ROP,则policy请设为ACCEPT;若目标为ACCEPT,则policy请设为DROP,如此方可看出效果。开放某一个介面作法如下∶iptables-AINPUT-ilo-jACCEPTiptables-AOUTPUT-olo-jACCEPT注∶IPFW或Netfilter的封包流向,localprocess不会经过FORWARDChain,因此lo只在INPUT及O
此文档下载收益归作者所有