数据库技术索引及其相应的查询优化.docVIP

ChinaUNIXiptablesmarsaber2009.6.20 iptablesiptablesiptablesiptables六、说明:??CU_platinum的《2 小时玩转iptables 讲义企业版v1.5.4 》/bbs/thread-722462-1-1.html??iptables 指南1.1.19/cn/iptables-tutorial-cn-1.1.19.html??iptables的man文档??互联网CentOS 5.3 kernel-2.6.27、iptables- 过滤两个网络间流入流出的数据包，由预先制定的策略来控制访问行为。1优点：速度快、性能高，对应用程序透明；缺点：只检查报头，不检查数据区，不建立连接状态表，安全性低，应用控制层很弱；2优点：安全性高，性能高，缺点：只检查报头，但建立连接状态表，不检查数据区，安全性高，应用控制层很弱；3优点：安全性高，提供应用层的安全；缺点：性能差，只支持有限的应用，不透明，不检查报头，不建立连接状态表，检查数据区，网络层保护较弱；4优点：重组并检查会话内容，建立连接状态表；网络层保护强、应用层保护强、会话保护强；缺点：性能差，不透明。iptables??Kernel 0.011991.9??Kernel 2.01994.3.14 ipfwadm??Kernel 2.21999.1.25 ipfwadm??Kernel 2.42001.1.4 Netfilter/iptables??Kernel 2.62003.12.17 Netfilter/iptablesiptables??PREROUTING—Route??FORWARD??POSTROUTING??｜↑｜｜↓ ｜INPUT OUTPUT↓ ↑---———local ———---iptablesiptables基本语法：??iptables -t table command match target1、table，表，filter、nat、mangle、raw；2、command，iptables最重要的部分；3、match，匹配数据包的特征；4、target，对匹配的数据包进行的操作；4.1、表??filter，用于一般的数据包过滤，针对本机；iptables默认的表；链:INPUT、FORWARD、OUTPUT；??nat，仅用于NAT，也就是转换数据包的源地址或目标地址；链:PREROUTING、POSTROUTING、OUT；??mangle，用来修改流经防火墙的数据包内容，不能做任何NAT，它只是改变数据包的TTL，TOS或MARK，而不是其源目地址。强烈建议你不要在这个表里做任何过滤；链:PREROUTING、POSTROUTING、OUTPUT、INPUT和FORWARD；??raw，负责加快数据包穿越防火墙的速度，借此提高防火墙的性能；4.2、命令1??-Liptables -L iptables -L -niptables -t nat -L -niptables -L -n --line-numberiptables -t nat -L -n --line-number??-Piptables -P INPUT DROP备注：为链设置默认的target 可用的是DROP 和ACCEPT，做为最后一条规则被执行4.2、命令2??-Aiptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -J DNAT --to :22??-I1iptables -I INPUT 1 -p icmp -j ACCEPTiptables -I INPUT 3 -p tcp --dport 22 -j ACCEPTiptables -t nat -I PREROUTING -i eth0 -p tcp --dport 2222 -J DNAT --to :224.2、命令3??-Diptables -D INPUT 3iptables -D INPUT -s -j DROP??-Riptables -R INPUT 3 -s -j ACCEPTiptables -t nat -R POSTROUTING 1 -s /244.2、命令4??-F：清空规则；iptables -Fiptables -F INPUTiptables -t nat -Fiptables -t nat -F POSTROUTING??-Ziptables -Ziptables INPUT -Ziptables -t nat -Ziptables -t nat POSTRO