iptables手册.docVIP

前言 概述 这是一篇以介绍在Linux操作系统平台上构建防火墙系统(Netfilter/Iptables)为主的科技文档，旨在帮助使用者在较短的时间内掌握管理和配置要领，为企业的网络安全提供相关的安全保障。 本文是《Linux安全应用——构建以防火墙为核心的安全管理系统》一文的姐妹篇，如果把那篇文章看成是What is it？那么，本文则以技术细节为主，即How to do？关于为什么要使用基于Linux操作系统平台的防火墙系统的原因， 本文共分为两部分，第一部分具体介绍了Netfilter/Iptables的运行机制和配置管理方法，这是全文中最核心的一部分。第二部分给出了一些具体的范例脚本供系统管理员参考。 鉴于笔者水平有限，文中有错误的地方望不吝赐教。 适用对象 本文首先是为各个企业的网络系统管理员撰写的，无论是那些已经使用了基于Netfilter/Iptables防火墙系统的企业，还是那些正准备使用它的企业，本文的内容都非常适合为系统管理员们提供参考。 对于那些Linux的个人用户和爱好者，本文也不失为一篇相当有价值的参考文档，其中，相当一部分内容深入浅出的讲解能帮助读者很快的理解和掌握Netfilter/Iptables的精髓。 对于希望通过本文了解Netfilter/Iptables的读者，应至少具备一定的Linux操作系统的应用基础，比如文件操作、网络配置操作等，当然，如果使用者还具备一定的编译核心的能力那是在好不过的了。 为了更好的配置防火墙系统，使用者除了掌握Netfilter/Iptables本身的配置管理技巧外，掌握一定的TCP/IP网络知识也是必须的，比如在缺省情况下，应该知道SMTP（Simple Mail Transfer Protocol）协议使用TCP25端口做为其对外提供服务的端口，FTP（File Transfer Protocol）协议在建立连接的整个过程中，会与客户端建立两条连接，一条是用户传输数据的，另一条则是用户控制传输的。 资源列表 Netfilter/Iptables的官方网站：  在Netfilter的官方网站，用户能够下载Iptables的最新的源代码，Iptables的使用说明文档，FAQ和Mail List，这个站点是有关Netfilter/Iptables最权威、最全面的地方，在这里，你几乎能够找到和Netfilter/iptables相关的所有帮助和技术支持。 术语 文中包含了一些术语，也许读者对其中的一部分似曾相识，但又并不完全理解其正确的含义，或者和其他相关安全产品的概念混淆了。这里有一些解释，并说明了本文中如何使用它们。 DNAT - Destination Network Address Translation 目的网络地址转换。 DNAT是一种改变数据包目的IP地址的技术，这种技术经常用于将内部网络（RFC1918定义的地址段）的服务器通过公有的可路由IP地址发布到Internet上，通过对同一个IP地址分配不同的端口，来决定数据的流向。 SNAT - Source Network Address Translation源网络地址转换。这是一种改变数据包源IP地址的技术，经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用，因为IPv4的地址已快用完了，IPv6将解决这个问题。IPv6使得地球上每一粒沙子大小的空间都能够分配到一个IP地址，因此IPv6不存在地址空间短缺的问题。 State - 状态 指明数据包处于什么状态。状态在RFC 793 - Transmission Control Protocol中定义，或由用户在Netfilter/iptables中自定义。需要注意的是Netfilter设定了一些关于连接和数据包的状态，但没有完全使用使用RFC 793的定义。 User space - 用户空间，指在内核外部或发生在内核外部的任何东西。例如，调用 iptables -h 发生在内核外部，但iptables -A FORWARD -p tcp -j ACCEPT（部分地）发生在内核内部，因为一条新的规则加入了规则集。 Kernel space - 内核空间 ，与用户空间相对，指那些发生在内核内部。 target - 这个词在后文中有大量的应用，它表示对匹配的数据包所做的操作，如ACCEPT、DROP、REDIRECT等等。 约定 本文中涉及的命令、范例都是以Redhat Linux操作系统平台为基础的，尽管在绝大多数的情况下，Linux的大多数命令都是独立于发行版本的，但每个发行版本之间或多或少的存在微小的区别。 本文中的命令以黑体5