在LINUX下使用Iptables作为防火墙研究.pdf

内蒙古电大学刊 2009年第1期(总第l13期) 在 LINUX下使用 Iptables 作为防火墙研究 秦 涛 (内蒙古商贸职业学院，内蒙古 呼和浩特 010010) [摘 要]防火墙是网络安全技术的重要手段，目前许多单位采用Linux作为代理服务器。介绍在Linux操作系统下管 理 IP包的工具 iptables，详细介绍 iptables的用法，利用 iptables建立功能强大的防火墙，给出具体实例。 [关键词]LinuxNetfilter／iptables 防火墙 [中图分类号]TP316．9[文献标识码]A[文章编号]1672—3473(2009)Ol一0071—03 包是以什么顺序、如何穿越不同的表和链的。很多人开始写 一 、 引言 防火墙规则时，ipt—ables语法正确 ，却总是达不到预想的效 随着网络技术的发展，因特网已经走进千家万户，应用 果，就是因为没有清楚 IP包是如何通过各个表、链 、规则的。 到了各行各业。因而，网络的安全也就 自然成为人们最为关 了解到这一点是很重要的，尤其在你用 iptables改变数据包 注的问题。为了获得一个安全的网络 ，防火墙 (Firewal1)的 的路 由时。 概念被提出，并投入使用。防火墙是一种装置，过滤本地网 (1)包过滤： 一 络或者网络的某个部分与Internet之间的数据传送。通过防 二、配置一个简单的实例 火墙可以定义一个关键点以过滤外来数据，监控网络的安全 并在异常情况下给出报警提示，有必要的话还需要有Et志记 录。当然防火墙还可以提供其他一些功能 ，下面所介绍的并 不是防火墙的具体功能，而是如何配置和管理这些功能。现 有使用的防火墙主要有三种 ：IP数据包过滤型、代理服务器 型、复合型 (即两种综合的防火墙)。 Linux是一个 日益成熟的操作系统，现在 已经拥有大量 的用户。该系统提供一个免费的防火墙：Netfiher／iptables，它 是对流人和流出的信息进行细化控制，且可以在一台低配置 机器上很好地运行 ，被认为是 Linux中实现包过滤功能的第 四代应用程序。Netfilter／iptables包含在 LINUX2．4以后的 图 1 内核中，可以实现防火墙，NAT(网络地址翻译)和数据包的 下面就以图1所示的网络状况，开始设计一个防火墙： 侵害等功能，Netfiher工件在 内核内部，而 iptables则是让用 图l网络状况 户定义规则集的表结构。 (1)防火墙同时也是一个网关，以NAT方式使内部网用 我们可以自己定义规则(或称为 “链”，即chains)，使用 户能连接 internet ipchains构造规则链，这样不仅简单而且非常灵活。三个表 (2)防火墙使用ethl连接 internet(如果是拨号连接，有 中除了的各 自的内置链外，我们也可以在其中定义 自己的 可能是ppp0，请针对您的环境来设定) 链。为了根据需要设置 自己的防火墙规则 ，首先要清楚数据 (3)防火墙使用 eth0连接内部网络 ，且内部使用 192． [收稿 日期]2008—03—10 [作者简介]秦 涛(1982～)，男，内蒙古商贸职。业学院，助教，助理工程师。 秦 涛 理工研究 168