linux下iptables配置方法.docVIP

iptables－－静态防火墙实例教程 来自 1、iptables介绍iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录（log）。接下来，我将告诉你如何设置自己的规则，从现在就开始吧。2、初始化工作在shell提示符 # 下打入 引用: iptables -Fiptables -Xiptables -t nat -F iptables -t nat -X 以上每一个命令都有它确切的含义。一般设置你的iptables之前，首先要清除所有以前设置的规则，我们就把它叫做初始化好了。虽然很多情况下它什么也不做，但是保险起见，不妨小心一点吧！ 如果你用的是redhat 或fedora，那么你有更简单的办法 引用: service iptables stop 3、开始设置规则:接下下开始设置你的规则了 引用: iptables -P INPUT DROP 这一条命令将会为你构建一个非常“安全”的防火墙，我很难想象有哪个hacker能攻破这样的机器，因为它将所有从网络进入你机器的数据丢弃(drop)了。这当然是安全过头了，此时你的机器将相当于没有网络。如果你ping localhost，你就会发现屏幕一直停在那里，因为ping收不到任何回应。4 、添加规则接着上文继续输入命令： 引用: iptables -A INPUT -i ! ppp0 -j ACCEPT 这条规则的意思是：接受所有的，来源不是网络接口ppp0的数据。我们假设你有两个网络接口，eth0连接局域网，loop是回环网（localhost）。ppp0是一般的adsl上网的internet网络接口，如果你不是这种上网方式，那则有可能是eth1。在此我假设你是adsl上网，你的internet接口是ppp0此时你即允许了局域网的访问，你也可以访问localhost此时再输入命令 ping localhost，结果还会和刚才一样吗？到此我们还不能访问www,也不能mail，接着看吧。5、我想访问www 引用: iptables -A INPUT -i ppp0 -p tcp -sport 80 -j ACCEPT 允许来自网络接口ppp0(internet接口)，并且来源端口是80的数据进入你的计算机。80端口正是www服务所使用的端口。好了，现在可以看网页了。但是，你能看到吗？如果你在浏览器的地址中输入，能看到网页吗？你得到的结果一定是：找不到主机但是，如果你再输入,你仍然能够访问baidu的网页。为什么？如果你了解dns的话就一定知道原因了。因为如果你打入,你的电脑无法取得这个名称所能应的ip地址。如果你确实记得这个ip，那么你仍然能够访问www,你当然可以只用ip来访问www，如果你想挑战你的记忆的话^ _ ^，当然，我们要打开DNS。6、打开dns端口打开你的dns端口，输入如下命令： 引用: iptables -A INPUT -i ppp0 -p udp -sport 53 -j ACCEPT 这条命令的含义是，接受所有来自网络接口ppp0,upd协议的53端口的数据。53也就是著名的dns端口。此时测试一下，你能通过主机名称访问www吗？你能通过ip访问www吗？当然，都可以！7、查看防火墙　此时可以查看你的防火墙了 引用: iptables -L 　如果你只想访问www，那么就可以到此为止，你将只能访问www了。 不过先别急，将上面讲的内容总结一下，写成一个脚本。 引用: #!/bin/bash# This is a script # Edit by liwei# establish static firewalliptables -F iptables -Xiptables -t nat -Fiptables -t nat -Xiptables -P INPUT DROPiptables -A INPUT -i ! ppp0 -j ACCEPTiptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPTiptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT8、复杂吗?到此iptables可以按你的要求进行包过滤了。你可以再设定一些端口，允许你的机器访问这些端口。这样有可能，你不能访问QQ，也可能不能打网络游戏，是好是坏，还是要看你自己而定了。